Een systeem te goeder trouw hacken, om kwetsbaarheden aan te tonen, is voortaan wettelijk toegelaten in ons land. Er zijn een aantal voorwaarden, maar als die worden nageleefd ben je als ethisch hacker niet strafbaar.
Ethische hackers zijn mensen die, professioneel of occasioneel, kwetsbaarheden in systemen zoeken. Maar in plaats van ze te misbruiken voor eigen gewin, melden ze het incident zodat de eigenaar van het systeem de beveiliging kan verbeteren. Soms gaat dat gepaard met een financiële beloning (bug bounty).
Maar puur wettelijk gezien was dat verboden. Er kwamen de afgelopen jaren uitzonderingen voor wie expliciet zegt open te staan voor ethical hacking, nu wordt dat veralgemeend. Wie de juiste procedures volgt, zoals tijdig melden en geen eigen gewin, hoeft geen vervolging te vrezen.
Meldplicht en privacy respecteren
Zo mag je als hacker niet verder gaan dan nodig om een kwetsbaarheid aan te tonen, en mag je geen schade veroorzaken. Dat wil ook zeggen dat je geen vergoeding mag vragen, al zijn er uitzonderingen voor wanneer er een overeenkomst is met de gehackte partij, of wanneer die zelf een bug bounty programma voorziet.
Wie iets ontdekt, moet dat zo snel mogelijk, binnen de 72 uur, melden en idealiter bewijzen bijhouden van de ondernomen acties. Dat kan bij het bedrijf in kwestie als die een beleid rond responsible disclosure hebben, anders klop je aan bij het CCB dat daar een formulier voor beschikbaar heeft dat je per mail kan doorsturen.
Omdat dergelijke systemen vaak persoonsgegevens bevatten zijn ook daar regels rond. Idealiter gebruik je een testaccount om iets aan te tonen. Krijg je door je ontdekking toegang tot persoonsgegevens, dan volg je daar de GDPR-regels. Of anders gezegd: wie bijvoorbeeld een database hackt en zo gegevens van klanten of gebruikers kan downloaden, hoort die nadien opnieuw te verwijderen.
Tot slot zijn zaken als phishing, spamming, brute force aanvallen, DDoS, het verwijderen van gegevens, het installeren van malware of schade toebrengen aan het systeem of de gegevens expliciet verboden. De volledige uitleg over wat mag en kan lees je bij het CCB.
Duidelijkheid
Ethisch hacker Inti De Ceukelaire pleit al jaren voor een degelijk wettelijk kader en gaf vanuit zijn werkgever Intigriti ook input over de nieuwe regels. ‘We zijn hiermee een van de weinige landen waar de regels zo duidelijk benoemd zijn,’ zegt hij aan Data News. Al verandert de wetswijziging voor zijn bedrijf niet zo veel. ‘Wij werken net met bedrijven die expliciet toestemming geven om zich te laten hacken.’
Dat is meteen ook de grote verandering in de wetgeving. Tot enkele jaren was er niets toegelaten. Wie hackte ter goeder trouw was altijd strafbaar. Enkele jaren geleden werd dat versoepeld: Hackers die zich uitleefden bij bedrijven die expliciet aangaven dat ze open stonden voor ehtical hackers konden dat doen. ‘Maar je deed nog altijd iets wat technisch gezien illegaal was,’ zegt De Ceukelaire. ‘Zelfs als het bedrijf dat je hackte geen klacht indiende, was je strafbaar. Dat is met deze wetswijziging aangepast.’
De Ceukelaire wijst wel nog op een kleine onzekerheid. Zo laat de huidige omschrijving niet toe dat je als ethisch hacker publiek je gevonden kwetsbaarheid beschrijft. Dat moet in eerste instantie voorkomen dat iemand veiligheidsprobleem publiek maakt voor het slachtoffer maatregelen kan nemen. Maar De Ceukelare hoopt dat dat nog wordt verduidelijkt zodat bijvoorbeeld universitaire papers die zulke dingen ontdekken wel kunnen gepubliceerd worden.
Fout opgemerkt of meer nieuws? Meld het hier