Het is goed vertoeven in de VS als ethisch hacker. Is dat ook zo in België?

Nieuw beleid in de ‘Verenigde Landen’

Kort samengevat spreekt men over hacking wanneer iemand zonder toestemming een beschermd IT-systeem binnendringt, een definitie die redelijk ruim is en geen rekening houdt met het al of niet ethisch karakter van die handeling. Goede bedoelingen doen er in principe niet toe. 

Maar daar is dus verandering in gekomen. In het nieuwe beleid wordt expliciet opgenomen dat je niet meer vervolgd zal worden voor externe hacking (van buitenaf toegang verschaffen) tot een IT-systeem, tenzij:

• je op geen enkele manier geautoriseerd was door een persoon of entiteit die de bevoegdheid had om je die autorisatie te geven
• je weet dat je zonder toestemming jezelf toegang verschaft, en;
• een vervolging nodig is om de privacy en veiligheid te garanderen door de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te verzekeren.

Een vergelijkbare regeling geldt voor de interne hacker (nl. het overschrijden van de toegangsautorisatie op een IT-systeem). 

Dit beleid neemt voor de ethische hacker voor een groot deel de onzekerheid weg bij situaties waar hij al dan niet toestemming had,  zoals bijvoorbeeld bij een afgesproken pentesting of in de situatie van een CVDP (coordinated vulnerability disclosure policy). Om nog vervolgd te worden moet het voortaan zeer duidelijk zijn dat er op geen enkele manier toestemming werd verleend. Bovendien sluipt het ethische aspect via de laatste voorwaarde binnen in het vervolgingsbeleid. Elke aanklager moet in zijn overweging met betrekking tot de maatschappelijke veiligheid rekening houden met het criterium van de  ‘good-faith security research’. Dit wil zeggen het zich toegang verschaffen tot een IT-systeem enkel en alleen om veiligheidsgebreken en – kwetsbaarheden te goeder trouw te testen, onderzoeken en/of te corrigeren, waarbij deze activiteit er op gericht was om elke vorm van individuele of publieke schade te vermijden. Iemand die ‘good-faith security research uitoefent zal niet vervolgd worden.

En wat in de ‘Lage Landen’?

In Nederland en België is hacking evenzeer strafbaar en blijft het niet hebben van toestemming een essentieel criterium. Elke veiligheidsonderzoeker riskeert dus al snel in strafrechtelijk vaarwater te komen, want er is bij ons geen vergelijkbaar beleid dat de lijnen duidelijk uitzet. Zo’n beleid is ook hier noodzakelijk, aangezien de maatschappelijke cyberveiligheid ook in de Lage Landen door ethische hackers gediend wordt.

Die bewustwording van de maatschappelijke rol van de ethische hacker wordt hoe langer hoe meer duidelijk via verschillende initiatieven. Zo zijn bug bounty platformen zoals het Belgische www.intigriti.com naast de klassieke pentesten van cyberveiligheidsbedrijven een best practice om de cyberveiligheid van elke organisatie te versterken. Voor ondernemingen die daar niet de budgetten voor hebben (of willen spenderen) wordt daarnaast hoe langer hoe meer de praktijk van de CVDP gepromoot. Dit gebeurt enerzijds vanuit de overheid via het Centrum voor Cybersecurity en anderzijds vanuit Europa via het ENISA. Het promoten van die praktijk is trouwens zo sterk dat het beschouwd wordt als een gewaardeerde maatregel in het kader van de veiligheidsverplichtingen onder de GDPR en de NIS.

In Nederland is aan deze CVDP-praktijk door het College van procureurs-generaal een beleidsbrief gekoppeld op 14/12/2020 met als onderwerp ‘Coordinated Vulnerability Disclosure en hoe te handelen bij aangiftes tegen ethische hackers’. Daarin stelt zij uitdrukkelijk dat hoewel er in het Strafwetboek geen expliciete strafuitsluitingsgrond is opgenomen over ethisch hacken, het vinden en oplossen van kwetsbaarheden door ethische hackers bijdraagt aan het veiliger maken en beschermen van informatiesystemen. Om die reden heeft het Openbaar Ministerie in de afgelopen jaren geen vervolging ingesteld van melders die conform het CVDP-beleid van organisaties gehandeld hebben. In deze beleidsbrief geeft het Openbaar Ministerie haar principes mee bij de vervolging van een ethisch hacker, waarbij zij drie belangrijke principes hanteert:

• Is er gehandeld in het kader van een wezenlijk maatschappelijk belang? De bijdrage aan een veilige digitale wereld zal hier zwaar doorwegen.
• Ging de ethische hacker niet verder dan noodzakelijk om zijn doel te bereiken (proportionaliteit)
• Waren er minder verregaande manieren om het door de ethische hacker beoogde doel te bereiken? (subsidiariteit)

Hoe moet het nu verder in België? 

Met deze beleidsbrief heeft de ethische hacker dus ook in Nederland een minimale houvast. In België is ons tot op heden geen gepubliceerd beleid (vb. via een omzendbrief) bekend. De ethische hacker zal hier dus het vervolgingsbeleid in de praktijk moeten afwachten. Dit kan een rem zijn op goedbedoelde acties. Naar mijn mening is het noodzakelijk dat voor de ethische hacker in België meer juridische klaarheid geschept wordt en deze ten volle de missing link kan vervullen in het kader van een maatschappelijke cyberveiligheidsstrategie. Die inspanning is trouwens miniem, nu de overheid gewoon over de landsgrenzen kan gaan kijken. Benieuwd hoe lang het duurt om ethische hackers ook in België goed te laten vertoeven…