Een recente wetswijziging maakt ethisch hacken mogelijk zonder de wet te overtreden. Bij ethisch hacken sporen hackers zwakke plekken op in IT-systemen om organisaties bewust te maken van hun kwetsbaarheid. Dat is al ingeburgerd in veel bedrijven als methode om de cybersecurity te verhogen.
Maar er zat een addertje onder het gras. Ethisch hacken was tot voor kort strafbaar en kon enkel met toestemming van het bedrijf dat zich wou laten hacken. Daar is sinds kort verandering in gekomen. In het kader van de Belgische nationale cyberbeveiligingsstrategie is er een nieuw wettelijk kader dat ethisch hacken mogelijk maakt. Ethische hackers mogen nu zonder toestemming eender welk Belgisch bedrijf hacken.
Goede marketingtechniek
Er zijn wel enkele belangrijke voorwaarden waaraan ethische hackers zich moeten houden. En hoewel iedereen het er bij ons over eens is dat een betere beveiliging van data een goede zaak is, leidt de kwestie aan de koffiemachine op kantoor toch tot levendige discussies.
‘Niet alle ethische hackers hebben een commercieel doel.’
‘Je moet dat nuanceren’, vindt Ron, product manager bij DNS Belgium. ‘Er zijn bedrijven die een bug bounty hebben uitstaan. Hackers die een bug vinden, krijgen een geldsom. Wanneer een hacker zich specialiseert in veiligheidsissues vinden bij zulke bedrijven, is er uiteraard geen probleem. Integendeel, hoe minder issues er overblijven voor mensen met kwade bedoelingen, hoe beter.’
‘Niet alle ethische hackers hebben een commercieel doel’, vult Ward, DevOps engineer bij DNS Belgium aan. ‘Het gaat ook over studenten en researchers die heel tevreden zouden zijn als ze op hun CV kunnen vermelden bij welke bedrijven ze kwetsbaarheden gevonden hebben.’
‘Je zou het ook als een goede marketingtechniek kunnen zien: om een klant binnen te halen kan het interessant zijn aan te tonen dat je hun infrastructuur kan verbeteren’, zegt Ward. Dat vindt ook Ron: ‘Wanneer een hacker wordt ingehuurd om een nog bredere check te doen is dat geen probleem zolang het bedrijf zelf kan kiezen met welke partij het in zee gaat om de beveiliging te verbeteren.’
Hacken op verzoek
Volgens David, legal expert bij DNS Belgium, zou het beter zijn mocht hacken niet ongevraagd gebeuren maar net op vraag van bedrijven. ‘Op die manier vermijden we willekeur. Hackers zouden kunnen focussen op bedrijven die wakker liggen van informatiebeveiliging of te kennen geven er iets te willen aan doen. We zouden toch ook niet aanvaarden dat verkopers van beveiligingsdiensten of alarminstallaties van huis tot huis gaan om ongevraagd het beveiligingsniveau te testen?’
‘Dat klopt’, antwoordt Ward. ‘Maar deze wet zegt dat je aan iemands deurklink mag voelen om te kijken of een deur op slot is. Als die op slot is, is er geen probleem. Je hebt niks illegaals gedaan. Is de deur niet op slot, dan kan je zonder juridische gevolgen de eigenaar van het huis laten weten dat de deur niet op slot is. Vóór deze wet er kwam, was voelen aan de deurklink eigenlijk al een strafbaar feit.’
In tegenstelling tot David ziet Ron weinig problemen met ongevraagd hacken. ‘Zolang hackers bedrijven de tijd geven om het issue op te lossen vooraleer ze het wereldkundig maken (zogenaamde responsible disclosure, zie verder) lijkt het me niet nodig dat het hacken op vraag van bedrijven gebeurt.’
Kop in het zand
‘Er veranderde veel op wettelijk vlak de laatste decennia. Toen de Belgische banken internetbankieren begonnen te promoten, zat ik na tien minuten al in hun logfiles, zonder zelfs maar mijn browser te verlaten’, blikt security-expert Jan Guldentops terug op zijn eerste activiteiten als hacker. Jan werkt nu als IT-, netwerk- en security-consultant, docent en onderzoeker. ‘Ik wist bovendien dat ik toen op geen enkele manier vervolgbaar was, want er was geen wetgeving rond hacken.’
'Er zijn nog altijd heel veel bedrijven die hun kop in het zand steken als het over cybersecurity gaat.'
Daarna sloeg het volledig de andere kant uit en werden hackers als Red Attack met veel media-aandacht voor de rechtbank gesleept. ‘Gelukkig kwam er toen een wettelijk kader, kon je auditen via contractuele afspraken, kwam er responsible disclosure.’
‘En met de nieuwe wetgeving krijgen hackers carte blanche’, gaat Jan verder. ‘Maar of dat veel verschil gaat maken, weet ik niet. Er zijn nog altijd heel veel bedrijven die hun kop in het zand steken als het over cybersecurity gaat en pas in actie schieten als het echt niet anders kan, bijvoorbeeld naar aanleiding van een cyberaanval.’
‘Een verdienstelijke poging’
Ook David twijfelt of de veranderde wetgeving veel impact zal hebben op de cybersecurity in ons land. ‘Het is een verdienstelijke poging, maar ik geloof niet dat dit heel doordacht is of op lange termijn het beste idee is. De vraag die we ons moeten stellen, is of dit de beste manier is om bij mensen en ondernemingen het besef te doen groeien dat het belangrijk is in online veiligheid te investeren’, zegt hij. ‘Persoonlijk ben ik daar niet helemaal van overtuigd.’
‘De wet is nog altijd te vrijblijvend’, valt Jan hem bij. ‘De voorbije maanden zijn er door de nieuwe wet weer heel veel meldpunten en werkgroepen opgericht, richtlijnen geformuleerd… Maar dat doen we al twintig jaar. Daarmee hebben we het probleem niet opgelost en gaan we het nu ook niet oplossen.’
Dat neemt niet weg dat Jan de nieuwe wet wel degelijk een stap in de goede richting vindt. ‘Stel dat ik een gigantische bug ontdek bij DNS Belgium en dat rapporteer aan jullie en een derde partij, het CERT, dan moet ik wettelijk beschermd zijn. Nu is dat eindelijk het geval’, zegt Jan. ‘Ik heb al meegemaakt dat bedrijven bij wie ik een kwetsbaarheid meldde de periode van de responsible disclosure gebruikten om te bekijken welke juridische stappen ze tegen mij konden nemen. Dat kan ook niet de bedoeling zijn. Er moet op een verantwoorde en eerlijke manier gemeld kunnen worden, maar dan moet er ook een wettelijk framework zijn. En dat is er nu.’
Responsible disclosure
Responsible disclosure staat centraal in deze wet. Het betekent dat hackers hun inbreuk minimaal moeten houden en de slachtoffers de tijd moeten geven het probleem op te lossen, alvorens ze de kwetsbaarheid in het systeem wereldkundig maken.
‘Je moet doen wat nodig is om de kwetsbaarheid bloot te leggen, maar je mag niet verder gaan’, licht Ward toe. ‘Je mag aantonen dat je data had kunnen verzamelen of vernietigen. Zodra je dat effectief doet, is er geen sprake meer van responsible disclosure en beschermt de nieuwe wet je niet langer.’
De regels rond privacy en gegevensbescherming blijven van toepassing en ook als ethische hacker moet je op een gewetensvolle manier met gegevens van anderen omgaan. Ron twijfelt er niet aan dat ethische hackers dat ook doen. ‘Ik zie geen probleem, want een ethisch hacker zal die gegevens niet misbruiken. Integendeel, de data zullen beter beschermd zijn wanneer hackers de kwetsbaarheden melden en die worden opgelost. De data zijn daarna ook veilig voor onethische hackers.’
'Zolang de hacker een redelijke termijn tussen informeren en disclosure aanhoudt zie ik geen probleem.’
‘Als een bedrijf niets met de informatie doet en de kwetsbaarheid niet oplost, kan een ethisch hacker er toch voor kiezen die kwetsbaarheid bekend te maken, zodat het bedrijf wel moet reageren. Zolang de hacker een redelijke termijn tussen informeren en disclosure aanhoudt zie ik geen probleem.’
En eenmaal de periode van responsible disclosure voorbij is, zijn er volgens Jan maar twee opties. ‘Of het bedrijf moet de kwetsbaarheid hebben opgelost. Of er moeten sancties volgen als dat niet het geval is. Daarna mag de kwetsbaarheid ook gepubliceerd worden. Alleen op die manier worden bedrijven gedwongen daadwerkelijke actie te ondernemen.’
Conclusie
Iedereen lijkt het erover eens dat ethisch hackers beschermd moeten worden. En over hoever ethische hackers kunnen en mogen gaan, schept de nieuwe wet duidelijkheid. Dat is zonder twijfel een goede zaak. Hoever de vrijgeleide voor hackers nu gaat en of die de deur openstelt voor minder ethische (lees commerciële) doeleinden, is duidelijk voer voor discussie.
Alleen aan de kant van de bedrijven die gehackt worden, is de wet nog te vrijblijvend. ‘Ze moeten verplicht worden veiligheidsissues aan te pakken’, meent Jan. ‘Want als een hacker een bug heeft ontdekt zijn er waarschijnlijk nog hackers die de bug kennen en hem al lang gebruiken omdat hij hen van pas komt.’
Project Zero
Google gaat met Project Zero actief op zoek naar kwetsbaarheden bij hun leveranciers. Om druk te zetten op fabrikanten, geven ze die 90 dagen om het veiligheidsprobleem op te lossen. Als het probleem na 120 dagen nog niet is opgelost, publiceren ze de kwetsbaarheid op https://googleprojectzero.blogspot.com/.
‘Ze doen dat ook wanneer het effectief werd opgelost’, licht Ward toe. ‘Leveranciers hebben er dus alle belang bij om tijdig te reageren en slechte publiciteit of reputatieschade te vermijden.’
‘Veel kwetsbaarheden die gevonden en gemeld worden, zijn trouwens al jaren bekend. Zo wist de NSA (de Amerikaanse staatsveiligheid) al jaren van beveiligingsproblemen in Windows. De NSA weigerde echter die te delen met Microsoft, opdat ze de zwaktes zelf konden gebruiken om in de systemen van Microsoft binnen te breken.’
Dossier Cyberoorlog
Wil je meer weten over cyberoorlog? In dit dossier lees je de meningen van erkende experts over cyberoorlog, waar overheden, bedrijven en particulieren op moeten letten, en wat er gebeurt als een cyberoorlog uitbreekt.