Sinds de omzetting van de Europese klokkenluidersrichtlijn[1] (Richtlijn 2019/1937) kunnen Belgische ethische hackers hun activiteiten legaal verrichten, indien ze aan bepaalde voorwaarden voldoen.
Ethische hackers zijn personen of bedrijven die op zoek gaan naar kwetsbaarheden van soft- en hardware zoals websites, webwinkels en computersystemen en netwerken om deze kwetsbaarheden niet openbaar te maken of te benutten, maar net om bedrijven en overheden te informeren over de gevonden kwetsbaarheden en ze de kans te geven om hun zaken op orde te krijgen.
Een misdrijf
Sinds het begin van het nieuwe millennium is het inbreken in een computersysteem een strafrechtelijk misdrijf, volgens artikel 550bis van het Belgisch Strafwetboek.
Op dat moment waren ethische hackers, ook wel een ‘white hat’ hackers genoemd, nog niet zo ingeburgerd als op heden. Hierdoor riskeerden dergelijke hackers, zelfs met de beste intenties, strafrechtelijke vervolging.
Er werd in de praktijk wel een systeem gebruikt waarbij bedrijven zelf toch white hat hackers wilden aantrekken door een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden in te voeren (of in het Engels “coordinated vulnerability disclosure policy”, ook wel “responsible disclosure policy”). Maar de bescherming voor de ethische hacker onder deze contractuele regeling was onvolmaakt en bleef het vrijwillig voor bedrijven.
Deze rechtsonzekerheid kwam dan ook algemeen de cyberbeveiliging in België niet ten goede.
Hacker als klokkenluider
Met het invoeren van de klokkenluidersregeling voorziet de wetgever nu ook “ethische hackers” een procedure en wettelijke bescherming wanneer zij als digitale klokkenluiders optreden, door een aanpassing van de NIS-wet.
Klokkenluiders zijn personen die melding maken van in een werk gerelateerde context verkregen informatie over inbreuken op enkele essentiële beleidsterreinen, waaronder kwetsbaarheden in de beveiliging van netwerk- en informatiesystemen.
Lees onze blogs indien je meer wil weten over de Klokkenluidersregeling of de NIS-wet.
Centrale rol voor Centrum voor Cybersecurity
Conform de procedure van het Belgische Centrum voor Cybersecurity (‘CBB’) moeten digitale klokkenluiders mogelijke kwetsbaarheden in de eerste plaats melden aan de organisatie die verantwoordelijk is voor het netwerk- en informatiesysteem, wanneer die organisatie beschikt over een “Responsible Disclosure Policy”.
Melders kunnen evenwel terecht bij het CCB in geval van:
- Wanneer een organisatie niet beschikt over een “Responsible Disclosure Policy”,
- Moeilijkheden,
- Indien de verantwoordelijke organisatie niet binnen een redelijke termijn reageert, of
- Indien de kwetsbaarheid ook betrekking heeft op andere organisaties die geen “Responsible Disclosure Policy” hebben.
In dat geval kan de kwetsbaarheid worden gemeld via een formulier dat digitaal moet worden ingevuld en gemaild naar het emailadres vulnerabilityreport@cert.be. Noteer dat je bij melding aan het CCB nog altijd de betrokken organisatie tegelijk moet inlichten.
Hoe kan je nu legaal ethisch hacken?
Ethische hackers moeten volgende regels naleven bij het opsporen en melden van kwetsbaarheden:
- Handelen zonder bedrieglijk opzet of het oogmerk om te schaden.
- De organisatie die verantwoordelijk is voor het systeem, het proces of de controle zo snel mogelijk en uiterlijk op het ogenblik van de melding aan het CBB hebben ingelicht over de ontdekking van een mogelijke kwetsbaarheid.
- Niet verder gaan dan nodig en evenredig was om het bestaan van een kwetsbaarheid na te gaan.
- De informatie over de ontdekte kwetsbaarheid niet openbaar maken zonder de toestemming van het CCB.
Ten slotte moet je er ook rekening mee houden dat, indien uw kwetsbaarheidsonderzoek wordt uitgevoerd op activa of op netwerk- en informatiesystemen die zich geheel of gedeeltelijk buiten het Belgische grondgebied bevinden, deze meldingsprocedure u alleen in België beschermt en niet in de andere betrokken landen.
Vergeet de GDPR niet!
Tijdens het ethisch hacken kan de ethische hacker in contact komen met persoonsgegevens. Het is aan de hacker als verwerkingsverantwoordelijke om toe te zien op de naleving van de GDPR-verplichtingen, zo moeten de verwerkte persoonsgegevens onmiddellijk worden verwijderd na afloop van de verwerking.
Afhankelijk van de ernst van de ontdekte kwetsbaarheid en mogelijke risico voor de privacy van de betrokkenen, moet de organisatie mogelijks de Belgische Gegevensbeschermingsautoriteit (GBA) uiterlijk binnen de 72 uur informeren over het eventuele verlies van of toegang tot deze gegevens.
Conclusie
Als organisatie blijft het relevant om een “Reponsible Disclosure Policy” uit te werken, zodat melden van eventuele kwetsbaarheden in de eerste plaats nog steeds bij jou terechtkomen en conform je eigen spelregels. Wij kunnen u bijstaan bij het opmaken & ter beschikking stellen van dergelijk document.
Als “ethical hacker” bestaat er nu dus een wettelijk kader voor het opsporen en melden van kwetsbaarheden aan een activum of van een netwerk- en informatiesysteem, met specifieke spelregels. Wij kunnen jou bijstaan met verder advies, of wanneer je zelf concreet ethical hacking diensten wil aanbieden bij bv. het opmaken en/of reviseren van pentest overeenkomsten.
Meer informatie kan u ook rechtstreeks terugvinden op de website van het CCB via deze link.
[1] Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden PE/78/2019/REV/1, OJ L 305, 26.11.2019, p. 17–56.