Wie laat zich vrijwillig hacken? De “coordinated vulnerability disclosure policy” voor ethische hacking.

Om de cyberveiligheid van je bedrijf of organisatie te verhogen kan je een coordinated vulnerability disclosure policy gebruiken (een beleid voor de gecoördineerde bekendmaking van kwetsbaarheid of CVDP). Het is een policy die je uitschrijft om ethische hackers de mogelijkheid te geven om je IT-systemen te testen op mogelijke kwetsbaarheden. In het kader van deze samenwerking bepaal je regels rond de vertrouwelijkheid van deze informatie en de eventuele bekendmaking van de ontdekte kwetsbaarheden op een verantwoorde en gecoördineerde manier.

 

Een aanvullende organisatorische en technische maatregel

Het toepassen van zo’n policy wordt beschouwd als een waardevolle aanvulling op jouw veiligheidsbeleid en schept een aantal voordelen:

• het biedt een juridisch kader voor ethische hackers, 
• kwetsbaarheden worden eerder ontdekt en opgelost/hersteld voordat malafide cybercriminelen er gebruik van maken, 
• met zo’n beleid geef je als bedrijf aan je stakeholders aan dat zij vertrouwen kunnen hebben in je IT-systemen,
• de vertrouwelijkheid van de informatie wordt gewaarborgd, maar anderzijds wordt de IT-gemeenschap wel gecoördineerd op de hoogte gebracht van mogelijke kwetsbaarheden en leidt zo tot een verhoogde algemene cyberveiligheid,
• je kan je met je organisatie compliant maken aan de vereisten van de GDPR, NIS-wetgeving, aansprakelijkheidsvereisten onder het Wetboek Economisch Recht, etc.

Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) publiceerde reeds in november 2015 haar Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations. Deze gids van 92 pagina’s behandelt de achtergrond van de uitgevoerde studie op deze policies, de verschillende uitdagingen en bevindingen én geeft vervolgens een reeks aanbevelingen die je kan gebruiken bij het opstellen van deze policies. In de annex wordt een uitgebreide template met begeleidende informatie voorzien.

Zeer recent publiceerde ook het Centrum voor Cyber Security België (CCB) haar ‘Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden’. Deze praktische gids bestaat uit 2 delen. In deel I: goede praktijken geeft het CCB een reeks aanbevelingen om zowel de inhoud van de CVDP als de procedure ervan zo goed als mogelijk op te stellen. In deel II: wettelijke aspecten geeft zij een uitgebreide toelichting van de toepasselijke strafrechtelijke bepalingen met telkens een toepassing op de CVDP en bespreekt zij de policy in het kader van de GDPR.

Het CCB geeft zelf alvast het goede voorbeeld en heeft op haar eigen website een Coordinated Vulnerability Policy geplaatst. Het CCB biedt zich ook aan als coördinator tussen je organisatie en de deelnemers om bijstand te verlenen bij de toepassing van je policy. Contact kan opgenomen worden via vulnerabilityreport@cert.be.

De opmaak van zo’n policy wordt dus aangemoedigd door de Europese en nationale cybersecurity-autoriteiten. De uitgebreide documentatie die zij daarvoor aanbieden, vormt alvast een goede basis om zelf aan de slag te gaan met een CVDP.

 

Enkele addertjes onder het gras

Het opstellen van zo’n CVDP is echter niet zonder risico. De hierboven vermeldde documentatie maakt dit ook reeds duidelijk, maar we wijzen graag op een aantal extra aandachtspunten. 

• Scope en voorwaarden

Met het CVDP geef je als organisatie aan onder welke voorwaarden je toelaat om handelingen te stellen die in principe onder de strafrechtelijke kwalificatie kunnen vallen van externe/interne hacking, informaticasabotage, gebruik van hacker tools en het onderscheppen van elektronische communicatie.

Het CCB spreekt in haar richtlijnen over een vorm van toetredingsovereenkomst of een machtiging om deze handelingen te stellen. Het neemt immers het onrechtmatig karakter van de handeling weg om te kunnen spreken van een strafbare gedraging. Vanaf dat je deze machtiging (dus de scope en de voorwaarden van de policy) overschrijdt, val je terug in het strafrechtelijk discours.

Een onduidelijke policy bevat verschillende risico’s, zowel voor de onderneming die de policy publiceert, als voor de hacker die deelneemt aan het disclosure programma. 

De interpretatie die een onderneming geeft aan de toepassing van de voorwaarden is daarom niet dezelfde als degene die het Openbaar Ministerie er eventueel aan zou geven. Het is nog af te wachten welk vervolgingsbeleid het Openbaar Ministerie in dit kader zal volgen. Redelijkerwijs kan aangenomen worden dat zolang hacker en onderneming in goede verstandhouding de policy respecteren, er geen al te grote problemen te verwachten zijn, nu zulke policies ook vanuit de overheid aangemoedigd wordt.

Voorzie tot slot ook steeds een duidelijke timebox waarbinnen de voorwaarden van de policy gelden. Wijzig je de voorwaarden, zorg dan voor duidelijkheid wanneer deze wijzigingen van toepassing zijn, zodat ethische hackers ook duidelijk weten binnen welk speelveld ze jouw systemen kunnen testen. 

• Belangen van derden

Hou bij de opmaak zeker rekening met de rechten van derden. Gebruik je als bedrijf een cloudomgeving of andere hardware/software-systemen van derden, dan moeten ook zij toelating geven om deze op een ethische manier te laten hacken. Zo niet, dan komt het onrechtmatig karakter van het hacken weer bovendrijven. Of erger, in dat geval zou je zelfs kunnen oordelen dat de onderneming die de policy publiceert, zich schuldig maakt aan aanzetting tot hacking, wat zwaarder bestraft wordt dan het hacken zelf.

• Gevolgen en eventuele schade

Jouw systemen laten testen kan ook ongewild schade veroorzaken:  IT-systemen die vastlopen/crashen met een tijdelijke onbeschikbaarheid van het systeem of verlies van gegevens, de performance/doorvoer van je systemen kan worden aangetast tijdens het testen, data kunnen worden gewijzigd of verwijderd, alarmen kunnen worden geactiveerd door inbraakdetectiesystemen, etc. Hierdoor kan je onderneming enorme schade oplopen. De neiging zal dan groot zijn om alsnog de gekende hacker aansprakelijk te stellen.

Jouw policy moet dus naast de melding dat er geen strafklacht zou neergelegd worden, ook bepalen in welke mate en hoe de hacker aansprakelijk kan geacht worden voor eventuele schade en anderzijds welk risico op schade de onderneming voor haar eigen rekening neemt. Bepaal ook in hoeverre je de betrokken hacker zal vrijwaren voor claims die van derden kunnen komen.

Stem jouw policy ook steeds af met je lopende schadeverzekeringen en je eventuele afgesloten cybersecurity verzekering. Kijk ook steeds na of je geen melding moet maken van de publicatie van de policy, aangezien de betrokken verzekeraar kan oordelen dat dit een risicoverzwaring inhoudt.

• Proportionaliteit als leidraad

Een algemeen principe dat steeds dient gehanteerd te worden, is dat van de proportionaliteit. De betrokken hacker mag alleen doen wat noodzakelijk is om de kwetsbaarheid bloot te kunnen leggen.

Zorg daarom in je policy onder meer voor een expliciet verbod tot social engineering, verbod op het plaatsen van een eigen ‘backdoor’ om een kwetsbaarheid aan te tonen, verbod tot wijzigen, kopiëren of verwijderen van data, verbod om herhaaldelijk toegang tot IT-systeem te zoeken, verbod om toegang tot systeem met anderen te delen en het verbod tot bruteforcen (herhaaldelijk gebruik van wachtwoorden).

• Ook GDPR komt weer om de hoek loeren…

Bij het uittesten van je systemen kan het zijn dat de hacker kennis krijgt van persoonsgegevens en deze op de ene of andere manier dient te verwerken. Bepaal daarom ook meteen in je policy dat de hacker zelf voldoende garanties biedt met betrekking tot de toepassing van geschikte technische en organisatorische maatregelen. De ethische hacker moet zich hiervan bewust zijn, aangezien het gebrek van zulke garanties hem per definitie uitsluit van de voorwaarden van de policy en zich opnieuw op strafrechtelijk glad ijs bevindt.

Voorzie daarnaast als onderneming in je policy ook de wettelijk verplichte bepalingen zoals deze zijn opgenomen in art. 28 van de GDPR. Zorg ervoor dat je duidelijk doel en middelen bepaalt zodat elke hacker goed kan inschatten binnen welke grenzen de hacking onder een rechtmatige verwerking valt. Gaat de hacker buiten die opdracht, dan kan hij als eigen verwerkingsverantwoordelijke beschouwd worden en zich eveneens blootstellen aan de specifieke GDPR-sancties.

• De policy staat niet op zichzelf

Hou er tot slot rekening mee dat een CVDP nooit op zichzelf staat. In geval van mogelijke verwerking van persoonsgegevens moet je dataregister aangevuld worden. Ga ook na of je vooraf geen DPIA (gegevensbeschermingseffectbeoordeling) moet uitvoeren. Voorzie daarnaast ook een aangepast incident response plan dat rekening houdt met de hypothese van de CVDP. Verzorg je interne en externe communicatie bij de melding van een kwetsbaarheid.

 

Naar een matuur cyberveilig beleid

Het opstellen en publiceren van een CVDP draagt zonder twijfel bij tot de maturiteit van de cyberveiligheid van je onderneming of organisatie. Het toont eveneens aan dat je een aanvullende technische & organisatorische maatregel neemt in overeenstemming met de toepasselijke wetgeving. De correcte opstelling van zo’n CVDP vraagt echter wel om de juiste juridische reflexen die niet altijd even eenvoudig zijn.

 

Meer informatie of begeleiding nodig bij de opmaak van een CVDP? 

Neem dan gerust even contact op met ons team via roeland@siriuslegal.be of neem eens een kijkje op onze Cyber security en legal risk management pagina’s.