Ethisch hacken voortaan toegestaan in België: dit zijn de spelregels
Bij hackers stellen we ons vaak criminele groepen voor die lekken zoeken om bedrijven mee af te persen. Niets is echter minder waar: veel hackers rolden juist in dit beroep om kwetsbaarheden in software van bedrijven op te sporen zonder daar kwade bedoelingen bij te hebben. Vaak wordt de beroepsgroep omschreven als ethische hackers. Hackers die dus handelen op basis van gedeelde normen en waarden. Tot voorkort waren ethische hackers in België strafbaar als zij zonder opdracht rondspeuren in de software van Belgische bedrijven. Meerdere hackers werden reeds vervolgd voor het melden van lekken via responsible disclosure.
Woensdag is een nieuwe Belgische wet ingegaan die het speelveld voor ethische hackers versoepelt. Ze kunnen hierdoor niet zomaar meer worden aangeklaagd door bedrijven als zij kwetsbaarheden in hun systemen opsporen. Bedrijven hoeven voortaan ook niet meer eerst opdracht te geven voor het uitvoeren van hacks. Ethische hackers kunnen dus in principe bij elk bedrijf gaan rondsnoepen om de beveiliging te controleren.
Spelregels voor ethisch hacken
Althans, mits ze zich daarbij aan enkele belangrijke spelregels houden. Het Centre for Cyber Security Belgium (CCB) nam een reeks spelregels op in de wetgeving. Hackers moeten kwetsbaarheden die ze in de software vonden bijvoorbeeld binnen 72 uur kenbaar maken bij het bedrijf. Bij bedrijven met een responsibledisclosurebeleid of bug bounty kan dit steeds direct bij dat bedrijf. Heeft een bedrijf geen meldingsbeleid op zijn site staan, dan moeten ethische hackers steeds bij het CCB aankloppen. Zij handelen de melding van de kwetsbaarheid dan verder af. Hiervoor werd een formulier voorzien.
Hackers is het daarnaast niet toegestaan met het oogmerk om te schaden. Het is niet de bedoeling dat ze om eender welke reden schade aanbrengen bij het bedrijf via de gekende kwetsbaarheid. Als een kwetsbaarheid eenmaal is ontdekt, moeten ze ook proportioneel te werk gaan. Ze mogen dus niet meer doen dan nodig om het lek te ontdekken en de werking ervan te bepalen. Verder geeft de wetgeving een verbod op phishing of bruteforce-aanvallen om toegang tot systemen te verschaffen.
Van hackers wordt verder verwacht dat zij de GDPR-wetgeving in ogenschouw houden. Steeds als ze een kwetsbaarheid ontdekken, moeten ze de privacy van gebruikers van dat bedrijf waarborgen. Het gebruik van testaccounts wordt alvast aangeraden door ethisch hacker Inti De Ceukelaire. Krijgt men via een aanval toch toegang tot gebruikersdata dan moeten ze die in lijn met de privacywetgeving na afloop verwijderen.
Publicatie van kwetsbaarheden
Intussen houdt de Belgische overheid vast aan beperkingen aan hackers voor het publiceren over een ontdekte kwetsbaarheid. Hackers mogen dus niet zomaar over een ontdekte kwetsbaarheid schrijven op hun blog. Wel is het mogelijk om toestemming te vragen bij CERT. Mist de expliciete toestemming van die organisatie, dan gaan hackers dus alsnog de fout in en kunnen bedrijven de ethisch hacker daar alsnog voor aanklagen.
- Lees ook: Reddit is gehackt: dit zijn de gevolgen