Ethisch hacken bijna legaal in België: ‘Want alles zit vol lekken’
Ons land krijgt eindelijk een mogelijkheid waarbij hackers bedrijven en overheden kunnen wijzen op kwetsbaarheden. Al moeten die zelf eerst expliciet toestemming geven.
Aan de toelating wordt al enkele maanden gesleuteld. Maar de wetgeving zelf wordt niet gewijzigd. Wel komt er een standaardverklaring van het Centrum voor Cybersecurity die bedrijven op hun website kunnen zetten. Daarmee geven ze toestemming aan hackers om volgens die expliciete richtlijn aan het werk te gaan. De tekst zou er komen in de talen van de website en in het Engels.
De bal ging aan het rollen via een parlementaire vraag van N-VA kamerlid Brecht Vermeulen aan minister van Justitie Koen Geens (CD&V). Daarin geeft de minister aan dat het CCB werkt aan een handleiding rond de zogenaamde responsible disclosure voor hackers.
Geen wet, wel toelichting
“We maken geen nieuw wettelijk kader, het gaat eerder om een toelichting omdat dit voor bedrijven vaak een grijze zone is”, licht Andries Bomans, communicatieverantwoordelijke van het CCB toe. Concreet gaat het om een tekst die klaar is, maar in de komende weken wordt nagekeken door de FOD Justitie. Eens dat achter de rug is, kan het CCB een standaard mededeling verspreiden en mogen bedrijven en organisaties ze gebruiken om zich open te stellen voor ethisch hacken.
De Croo: kmo’s overtuigen
Ook vicepremier en minister voor Telecom en de Digitale Agenda Alexander De Croo is tevreden. “Ik ben zeer blij dat het CCB heeft opgeleverd.” Hij ziet in het kader van de digitale agenda vooral een meerwaarde voor kmo’s, die vaak niet over dezelfde securitymiddelen beschikken als grote bedrijven.
“We denken zelf na over een tour voor kmo’s met sessies over cybersecurity waarbij we uitleggen wat ethisch hacken is en hen aanmoedigen om mee te doen. Pas als ook zij op de kar springen ga je de grootste marges vinden.”
Aanpassingen mogelijk
De tekst die bedrijven kunnen gebruiken wordt naar alle waarschijnlijkheid begin volgend jaar beschikbaar gemaakt. Wel mogen bedrijven zelf nog aanpassingen doen aan hun versie. Dat brengt echter een extra risico mee zegt Kurt Callewaert, docent Toegepaste Informatica op het traject Computer en Cybercrime Professional aan de Howest.
“Ik zag liever een eenduidige tekst want je weet niet hoe een kmo dat zal aanpassen. Of dat ze de tekst publiceren en daaronder expliciet de uitzonderingen voor hun bedrijf kenbaar maken. Anders vrees ik dat veel jonge hackers de tekst zien en per definitie denken dat ze de standaardregels kunnen volgen.”
Wel is Callewaert blij met de evolutie, ook voor zijn eigen opleiding. “We hebben al studenten gehad die bugs ontdekten bij Facebook en Google, maar ik denk dat er bij Belgische bedrijven meer te vinden is. We gaan die zaken ook in de lessen gebruiken, Normaal gebruiken we een gesloten testlabo, maar met dit initiatief kunnen we ze in de echte wereld laten zoeken naar lekken en bugs.”
Ook ethical hacker Inti De Ceukelaire is blij met de stappen, ook omdat ze in overleg met ethical hackers en de securitygemeenschap zijn opgesteld. “Ik hoop wel dat de overheid consistent is en het dan ook op haar eigen e-gov toepassingen van kracht maakt.”
Hij wijst er daarbij op dat meer hackers ook meer ogen betekenen. “Alles zit vol lekken. Zelfs voor mij is het onmogelijk op perfect veilige code te schrijven. Dan is een responsible disclosure voor hackers de beste oplossing.”
Fout opgemerkt of meer nieuws? Meld het hier