Een ethische hacker schakel je in om ‘gaten’ te vinden waardoor zogeheten ‘black hat hackers’, lees cybercriminelen, in je systemen naar binnen kunnen. De term “ethical hacking” werd voor het eerst gebruikt in 1995 door John Patrick, de Vice President van IBM. Het concept van ethishe Hackers bestaat dus al lang.

Zoals je reeds kon lezen in ons vorig artikel rond cybersecurity is investeren in cybersecurity de beste manier om je bedrijf te wapenen tegen cybercrime. Met de steun van VLAIO kan je in zee gaan met een cybersecuritybedrijf dat je helpt de zwakheden van je digitale systemen bloot te leggen en je vervolgens adviseert in de bescherming ervan. De motieven van ethische hackers zijn ideologisch, maar zeker ook financieel. Ze krijgen immers een mooie vergoeding voor hun bewezen diensten.

Sinds 15 februari 2023 is het niet langer nodig om als bedrijf toestemming te verlenen tot het ethisch hacken van je systemen. Tot dan was het verboden om proactief als hacker aan ethische hacking te doen, ook niet wanneer je alleen maar goede bedoelingen had. De nieuwe wet, ‘Belgian Whistleblowers Act’, brengt hier verandering in.

Deze nieuwe wetgeving geeft aan ethische hackers geen carte blanche. Ze moeten zich houden aan strikte voorwaarden. Een hacker kan niet strafrechtelijk vervolgd worden wanneer de voorwaarden worden nageleefd.

  • hun doel mag enkel zijn: het aantonen van een zwakheid in het informaticasysteem dat kan worden uitgebuit door een cyberdreiging;
  • zij moeten zonder bedrieglijk opzet of het oogmerk om te schaden hebben gehandeld;
  • van zodra ze een kwetsbaarheid ontdekken, moeten ze dat zo snel mogelijk melden aan het Centrum voor Cybersecurity (CCB), volgens een specifieke procedure. Tegelijk moeten ze de kwatsbaarheid zo snel mogelijk (en uiterlijk op het moment van de melding aan het CCCB) ook melden aan de organisatie die instaat voor de het informaticasysteem;
  • de hacker mag niet verder gaan dan wat noodzakelijk en evenredig is om de zwakheid bloot te stellen;
  • ze mogen de informatie over de ontdekte kwetsbaarheid niet bekend maken zonder toestemming van het CCB.

Als bedrijf kan je zo'n ethische hacking zien als een opportuniteit. Eveline Van Laere, advocaat ondernemingsrecht bij Arcas Law, vind het goed dat er een wettelijk kader komt. “Vanuit juridisch oogpunt zal de vraag evenwel zijn in hoeverre de zogenaamde strikte voorwaarden strikt genoeg zijn. Wat noodzakelijk en evenredig is voor casus A, is niet noodzakelijk en evenredig voor casus B. Dit moet dus steeds van de praktijk getoetst worden."

We stelden ook enkele vragen aan Niels Hofman, Head of Security bij Intigriti, een bedrijf dat met zijn team van ethische hackers op zoek gaat naar de gaten in jouw cybersecurity.  

Dag Niels. Het is niet langer nodig voor een ethische hacker om toestemming te krijgen om te hacken. Moeten ondernemers hier nu schrik voor hebben?

“Ik bekijk dit net andersom. Op het internet zien we twee verschillende hackers; de ene wil hacken met kwade bedoelingen, waar de andere net de lek van jouw bedrijf wil opsporen. De eerste groep zal altijd slechte bedoelingen blijven hebben, maar nu zorgt de Belgian Whisteblowers Act ervoor dat we juist iets kunnen doen met de feedback van diegenen met goede bedoelingen. Dit is een positief verschil.”

Kan je als ondernemer aangeven dat je niet wil worden gehackt?

“Als het bedrijf geen responsible disclosure policy zou publiceren, wordt er van de ethische hacker verwacht dat hij zonder kwade bedoelingen handelt en binnen 72 uur de lek meldt aan het bedrijf. Hier komt geen beloning aan te pas. Er wordt verantwoordelijk gezocht worden naar lekken. Als dat niet het geval is, kan de researcher nog steeds aansprakelijk gesteld worden. Het moet van twee kanten komen.”

Zit er volgens jou voor sommige hackers een businessmodel in? Kan er misbruik worden gemaakt van deze nieuwe wet?

“Ja en nee. In de Belgian Whistleblowers Act staat dat de ethische hacker vergoed wordt. Dit zou anders om b.v. losgeld kunnen gaan waarbij ze enkel een lek delen als ze rijkelijk vergoed worden, zoals ransomware.”

“Wel doen we het volgende al jaren bij Intigriti als successvol businessmodel: researchers worden vergoed als ze het lek delen, gebaseerd op de impact dat het lek zou veroorzaken. En dit werkt perfect; bedrijven krijgen zoveel mogelijk beveiligingslekken door, en researchers worden vergoed naargelang hun impact.”

Heb je tips en tricks voor ondernemers die geconfronteerd worden met een ethisch hacker? Kunnen zij bijvoorbeeld ergens nagaan of alles legaal is verlopen?

Zorg voor een publieke responsible vulnerability disclosure policy om duidelijk te maken hoe je wilt dat ze wel of niet naar lekken zoeken. Dit kan bijvoorbeeld ook over het proces zelf gaan. Probeer transparant te zijn naar de researcher toe wat je verwachtingen zijn, en zorg voor een tijdig antwoord. Je mag ethische hackers niet aan het lijntje houden, want dit veroorzaakt frustraties aan beide kanten en zorgt ervoor dat je in de toekomst een lek mist.”

Niels Hofman: "je kan de expertise van de ethische hacker maar beter omarmen."

Kan een ethisch hacker schade aanbrengen aan mijn systemen?

“Natuurlijk, maar dat kan iedereen op het internet. Soms proberen bedrijven zich te verstoppen tijdens een security onderzoek. Dit houdt geen steek aangezien diegenen met slechte bedoelingen dit sowieso kunnen. Onwetendheid leidt soms tot naïviteit, dus je kan de expertise van de ethische hacker maar beter omarmen. Je wordt hier als bedrijf beter van.”

Mag een ethisch hacker mijn zwakheden bekend maken aan derden?

“Neen! Een researcher mag een lek enkele bekend maken aan het bedrijf. Het bedrijf beslist dan verder of de ethische hacker dit verder mag delen. Er is dus sprake van confidentialiteit tussen de researcher en het bedrijf, en dat vertrouwen is erg belangrijk.”

Wil je graag meer weten over de nieuwe wetgeving? Of heb je vragen of opmerkingen? Stuur dan gerust een mailtje naar karo.janssens@unizo.be

Of lees het artikel rond de nieuwe wetgeving op de website van Intigriti: https://blog.intigriti.com/2023/02/15/eu-whistleblower-directive-officially-launches-in-belgium/

Weet je niet hoe te beginnen aan een responsible diclosure poilicy? Kijk dan een op de website van de VRT hoe zij dit hebben aangepakt: https://www.vrt.be/nl/info/responsible-disclosure-policy/