Kurt Callewaert
Wat houdt de overheid tegen om een wettelijk kader voor ethical hacking op te stellen?
De snelle technologische evolutie van het internet heeft veel positieve gevolgen, maar er is ook een donkere kant: criminele hackers. Maar er is ook een andere groep hackers die wel het goede voor heeft: de ethische hackers, die proberen iets goeds te doen maar worden daarvoor bestraft. Kurt Callewaert, lector ‘Toegepaste informatica’ HOWEST, vraagt zich af waarom hier niets aan gedaan wordt.
De digitale transformatie heeft ons in korte tijd heel veel gebracht, maar zoals met de meeste technologische vooruitgang is er ook een donkere kant: criminele hackers.
Overheden, bedrijven en particulieren zijn een gemakkelijke prooi voor ‘black hat’ hackers die erop uit zijn om binnen te dringen in de computersystemen met maar één doel: financieel geldgewin of schade toebrengen. Men is op zoek naar wachtwoorden om de financiële rekeningen leeg te halen of men zoekt naar gevoelige data van klanten of patiënten om die te koop aan te bieden op het internet. Rex Mundi is een voorbeeld van een groep van malafide hackers die actief is in ons land. De groep maakt gebruik van phishing: Wie heeft er nog nooit een e-mail ontvangen om zijn banksoftware up te daten? Deze manier van informatie ontfutselen van onwetende gebruikers is de nieuwste vorm van internetfraude.
Wat houdt de overheid tegen om een wettelijk kader voor ethical hacking op te stellen?
Tegenover deze groep criminelen staan de ‘white hat’-hackers. Ze werken samen met overheden en bedrijven en vallen computersystemen aan om kwetsbaarheden aan het licht te brengen, zodat systemen beter beveiligd kunnen worden. Deze groep werkt in opdracht en daarbij wordt een contract opgesteld; men mag in ons land niet op eigen houtje een website van een overheidsinstelling of bedrijf testen op zijn veiligheid. Wanneer iemand gepakt wordt volgen er strenge straffen en een hoge boete terwijl deze vorm van digitaal inbreken – ethical hacking genoemd – juist zeer nuttig is.
Nederland heeft al in 2013 een kader gemaakt voor ethical hacking. Hier mag het wel op voorwaarde dat men de kwetsbaarheden niet publiek maakt vooraleer de betrokken organisatie het probleem heeft opgelost. De hacker moet ook kunnen aantonen dat hij geen misbruik heeft gemaakt van het lek dat hij gevonden heeft.
De laatste maand kwamen de HOWEST-studenten en Arne Swinnen van Nviso (organisator Cyber Security Challenge) in het nieuws met hun hacking van sociale media zoals Facebook en Google die speciale ‘bug bounty’-programma’s hebben opgestart om hun platformen te helpen beveiligen. Wanneer iemand een lek gevonden heeft komt zijn naam bij de ‘hall of fame’ en krijgt hij een flinke beloning van het bedrijf – dit kan in de duizenden euro’s lopen.
Zelfs het Pentagon is maandag gestart met een project waarbij hackers ingezet worden om gaten in hun systemen te vinden. Hun redenering is dat externe vrijwilligers een andere kijk hebben op security en fouten vinden waar ze zelf niet aan zouden denken.
Iedereen weet dat er in ons land nog heel wat kwetsbare netwerken en applicaties zijn bij zowel bedrijven als overheden.
Grote Amerikaanse technologiebedrijven en overheden nodigen ethical hackers dus al uit om te helpen en willen er zelfs voor betalen – het Pentagon stelt 150.000 dollar beschikbaar. Hopelijk is dit een teken voor België dat er hier ook iets moet bewegen, want ethical hackers vragen om een wettelijk kader waarin ze kunnen opereren. Ze hebben er geen belang bij om iets onwettelijks te doen en in de problemen te komen en iedereen weet dat er in ons land nog heel wat kwetsbare netwerken en applicaties zijn bij zowel bedrijven als overheden.
Om die gaten te dichten zijn er te weinig IT-securityspecialisten in België, al zijn er ontwikkelingen. HOWEST doet zeker zijn best in Vlaanderen. Volgend jaar zijn er daar 100 ‘white hat’ of ‘ethical hackers’ beschikbaar voor stages en projecten. HOWEST is ook een aangepast programma Computer & Cyber Crime Professional aan het samenstellen voor werkende informatici (met een vroeger verworven diploma Toegepaste informatica) zodat deze via afstandsonderwijs hun diploma kunnen updaten. In Wallonië komt er een samenwerking tussen de universiteiten ULB, UCL, UNamur, École royale militaire en twee hogescholen HEB et HELB om een master na master Cybersecurity te organiseren.
Laat ons hopen dat men niet wacht tot er zich een grote ramp voordoet om tot actie over te gaan.
Maar naast de opleiding is de praktijk belangrijk. Een student leert veel wanneer hij of zij de kennis los kan laten op een zogezegd veilig systeem.
Wordt het niet tijd dat het platform van de Cyber Security Coalitie een kader tekent voor de ethical hacker in België? Of heeft Miguel de Bruycker van het Centrum voor Cybersecurity België al een voorstel? Laat ons hopen dat men niet wacht tot er zich een grote ramp voordoet om tot actie over te gaan.
Fout opgemerkt of meer nieuws? Meld het hier