Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Het is goed vertoeven in de VS als ethisch hacker. Is dat ook zo in België?

Leesduur: 5 minuten
Deel dit artikel

In de Verenigde Staten is de Computer Fraud and Abuse Act (CFAA) belangrijke wetgeving als het gaat over de vervolging van cybermisdrijven. Om die wetgeving consistent toe te passen in een voortdurende technologische evolutie heeft het U.S. Department of Justice op 19/05/2022 een nieuw beleid gepubliceerd. Dat nieuw beleid zorgt ervoor dat de ethische hacker minder snel vervolgd zal worden. De reden? Het besef groeit meer en meer dat ethische hackers een belangrijk aandeel hebben in maatschappelijke cyberveiligheid.

Nieuw beleid in de ‘Verenigde Landen’

Kort samengevat spreekt men over hacking wanneer iemand zonder toestemming een beschermd IT-systeem binnendringt, een definitie die redelijk ruim is en geen rekening houdt met het al of niet ethisch karakter van die handeling. Goede bedoelingen doen er in principe niet toe. 

Maar daar is dus verandering in gekomen. In het nieuwe beleid wordt expliciet opgenomen dat je niet meer vervolgd zal worden voor externe hacking (van buitenaf toegang verschaffen) tot een IT-systeem, tenzij:

  • je op geen enkele manier geautoriseerd was door een persoon of entiteit die de bevoegdheid had om je die autorisatie te geven
  • je weet dat je zonder toestemming jezelf toegang verschaft, en;
  • een vervolging nodig is om de privacy en veiligheid te garanderen door de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te verzekeren.

Een vergelijkbare regeling geldt voor de interne hacker (nl. het overschrijden van de toegangsautorisatie op een IT-systeem). 

Dit beleid neemt voor de ethische hacker voor een groot deel de onzekerheid weg bij situaties waar hij al dan niet toestemming had,  zoals bijvoorbeeld bij een afgesproken pentesting of in de situatie van een CVDP (coordinated vulnerability disclosure policy). Om nog vervolgd te worden moet het voortaan zeer duidelijk zijn dat er op geen enkele manier toestemming werd verleend. Bovendien sluipt het ethische aspect via de laatste voorwaarde binnen in het vervolgingsbeleid. Elke aanklager moet in zijn overweging met betrekking tot de maatschappelijke veiligheid rekening houden met het criterium van de  ‘good-faith security research’. Dit wil zeggen het zich toegang verschaffen tot een IT-systeem enkel en alleen om veiligheidsgebreken en – kwetsbaarheden te goeder trouw te testen, onderzoeken en/of te corrigeren, waarbij deze activiteit er op gericht was om elke vorm van individuele of publieke schade te vermijden. Iemand die ‘good-faith security research uitoefent zal niet vervolgd worden.

 

Relevant blogartikel

Wie laat zich vrijwillig hacken? De “coordinated vulnerability disclosure policy” voor ethische hacking.

En wat in de ‘Lage Landen’?

In Nederland en België is hacking evenzeer strafbaar en blijft het niet hebben van toestemming een essentieel criterium. Elke veiligheidsonderzoeker riskeert dus al snel in strafrechtelijk vaarwater te komen, want er is bij ons geen vergelijkbaar beleid dat de lijnen duidelijk uitzet. Zo’n beleid is ook hier noodzakelijk, aangezien de maatschappelijke cyberveiligheid ook in de Lage Landen door ethische hackers gediend wordt.

Die bewustwording van de maatschappelijke rol van de ethische hacker wordt hoe langer hoe meer duidelijk via verschillende initiatieven. Zo zijn bug bounty platformen zoals het Belgische www.intigriti.com naast de klassieke pentesten van cyberveiligheidsbedrijven een best practice om de cyberveiligheid van elke organisatie te versterken. Voor ondernemingen die daar niet de budgetten voor hebben (of willen spenderen) wordt daarnaast hoe langer hoe meer de praktijk van de CVDP gepromoot. Dit gebeurt enerzijds vanuit de overheid via het Centrum voor Cybersecurity en anderzijds vanuit Europa via het ENISA. Het promoten van die praktijk is trouwens zo sterk dat het beschouwd wordt als een gewaardeerde maatregel in het kader van de veiligheidsverplichtingen onder de GDPR en de NIS.

In Nederland is aan deze CVDP-praktijk door het College van procureurs-generaal een beleidsbrief gekoppeld op 14/12/2020 met als onderwerp ‘Coordinated Vulnerability Disclosure en hoe te handelen bij aangiftes tegen ethische hackers. Daarin stelt zij uitdrukkelijk dat hoewel er in het Strafwetboek geen expliciete strafuitsluitingsgrond is opgenomen over ethisch hacken, het vinden en oplossen van kwetsbaarheden door ethische hackers bijdraagt aan het veiliger maken en beschermen van informatiesystemen. Om die reden heeft het Openbaar Ministerie in de afgelopen jaren geen vervolging ingesteld van melders die conform het CVDP-beleid van organisaties gehandeld hebben. In deze beleidsbrief geeft het Openbaar Ministerie haar principes mee bij de vervolging van een ethisch hacker, waarbij zij drie belangrijke principes hanteert:

  • Is er gehandeld in het kader van een wezenlijk maatschappelijk belang? De bijdrage aan een veilige digitale wereld zal hier zwaar doorwegen.
  • Ging de ethische hacker niet verder dan noodzakelijk om zijn doel te bereiken (proportionaliteit)
  • Waren er minder verregaande manieren om het door de ethische hacker beoogde doel te bereiken? (subsidiariteit)

Hoe moet het nu verder in België? 

Met deze beleidsbrief heeft de ethische hacker dus ook in Nederland een minimale houvast. In België is ons tot op heden geen gepubliceerd beleid (vb. via een omzendbrief) bekend. De ethische hacker zal hier dus het vervolgingsbeleid in de praktijk moeten afwachten. Dit kan een rem zijn op goedbedoelde acties. Naar mijn mening is het noodzakelijk dat voor de ethische hacker in België meer juridische klaarheid geschept wordt en deze ten volle de missing link kan vervullen in het kader van een maatschappelijke cyberveiligheidsstrategie. Die inspanning is trouwens miniem, nu de overheid gewoon over de landsgrenzen kan gaan kijken. Benieuwd hoe lang het duurt om ethische hackers ook in België goed te laten vertoeven… 

Eens praten over cybersecurity? 

Cyberrisico’s are here to stay en een goed cybersecuritybeleid in je bedrijf is broodnodig.  Wapen je daarom voor de toekomst door cyberveiligheid in al haar aspecten aan te pakken.  Sterk juridisch advies is daarbij een kernelement en ons gespecialiseerd team kan je hierin zeker begeleiden. Wil je meer info of dit eens vrijblijvend bespreken? Neem dan gerust contact op met Roeland via roeland@siriuslegal.be, of boek hiernaast een gratis kennismakingsgesprek in.

Vragen over ethische hacking of cybersecurity?

Over de auteur

Roeland
Lembrechts

Nadat ik afstudeerde als criminoloog aan de KU Leuven, besloot ik om aansluitend rechten te studeren aan de Universiteit Antwerpen. Met die ...

Cybersecurity bij Sirius Legal


Cyber Security Impact Assessment

Cyberveilig ondernemen start met een Impact Assessment van jouw bedrijf. Ontdek hier onze gedetailleerde en efficiënte werkwijze.


Cyber security verbetertraject met de steun van Vlaio

Wij zijn erkend partner van VLAIO in hun cyber security verbetertrajecten. Met dit prachtig initiatief subsidieert Vlaio maar liefst 45% van jouw projectkost. Ontdek er hier meer over.


Externe Cyber Security

Zorg ervoor dat je leveranciers of klanten geen zijdeur openen voor cyberaanvallen. Maak goede afspraken met alle bedrijven en personen die aan je bedrijf verbonden zijn. 


Interne Cyber Security

Informeer je personeel hoe ze veilig kunnen omgaan met data en tools en voorzie in de nodige arbeidsrechtelijke documenten.


Cyber Verzekering

Valt een cyberincident onder de dekking van de algemene BA-polis? Of neem je best een aparte cyberrisico-polis?


Incident Management

Wat als er dan toch een veiligheidsincident is? Hoe ga je dan te werk met je Response Management?