Ethische hackers mogen dankzij nieuwe wet Belgische bedrijven hacken zonder toestemming

Hoogdag voor de ethische hackers, want vanaf vandaag gaat een wet in die hen een pak meer vrijheid geeft. Dat meldde de VRT onlangs. Maar met ook een pak restricties: melden bij de verantwoordelijke binnen 72 uur, geen geld of ander gewin, en iets waar den Floor ambetant van wordt: een geheimhoudingsplicht voor de ethisch hacker. Hoe zit dit juridisch?

Sinds vorig jaar november geldt in België een kaderwet voor de beveiliging van netwerk- en informatiesystemen, waarbij het Centrum voor Cybersecurity België (CCB) de coördinerende instantie is. Eén van hun taken (art. 62 van die wet) is het nemen van maatregelen om te reageren op incidenten, problemen op te sporen et cetera. Die bevoegdheid is ingezet om een beleidsmaatregel te nemen (zouden wij zeggen) over de bekendmaking van kwetsbaarheden aan het CCB.

Het beleid komt neer op een aantal bekende zaken:

  1. Niet verder gaan dan noodzakelijk voor het aantonen van het probleem.
  2. Handelen zonder bedrieglijk opzet of het oogmerk om te schaden. Dat betekent enerzijds jezelf identificeerbaar maken tijdens de hack en anderzijds geen geld vragen achteraf voor de geleverde ‘dienst’.
  3. Het incident zo snel mogelijk melden bij de organisatie. Op diverse plekken lees ik 72 uur, maar dat gaat over incidenten waarbij je persoonsgegevens ontdekt (datalekken), want dat is de AVG deadline. En het CCB ziet dus de ethisch hacker als verwerkingsverantwoordelijke daarvoor, uiteraard naast de ‘echte’ verantwoordelijke. Dat gaat mij wat snel, ik zou dat alleen zo zien als je daadwerkelijk gegevens te pakken hebt gekregen.
  4. Het incident ook zo snel mogelijk melden bij het CCB, tenzij de organisatie een duidelijk responsible disclosure beleid heeft (want daarin staat dan al een meldingsregeling door de organisatie).
  5. Geen informatie openbaar maken zonder toestemming van het CCB.
Als je je aan deze regels houdt, dan geldt een “rechtvaardigingsgrond op limitatieve wijze” in de zin van de strafwet, oftewel dan kun je niet worden vervolgd. Ik zie niet meteen hoe deze regeling het Belgische OM tegen zou houden, maar omdat het beleid vanuit de overheid komt, zou dat in principe genoeg moeten zijn.

In Nederland is de constructie dat bedrijven zelf een responsible disclosure beleid opstellen, en dat het OM in principe niet vervolgt als een ethisch hacker die regels volgt. De bedoeling van zo’n beleid is dat er enige ruimte is om te publiceren, dit hele ding heet immers responsible disclosure en is bedoeld om druk te creëren dat dingen gerepareerd worden. Een veelgebruikte termijn daarbij is 60 of 90 dagen na melding (hoewel de modeltekst van d’n Floor geen deadline noemt).

Natuurlijk kun je als CCB zeggen, niets aan de hand want zodra de situatie veilig is dan geven wij uiteraard toestemming. Maar een afhankelijkheid van een welwillende instantie is niet hetzelfde als een wettelijk recht om iets te mogen doen. Dus dat is wel een vervelende beperking.

Arnoud

 

 

14 reacties

  1. Vanuit een dataminimalisatie-oogpunt een redelijke keuze om geen achternaam te gebruiken. Ik maak me overigens ook zorgen om de verplichting om de bevindingen eerst direct bij de betreffende organisatie te melden terwijl die soms alleen een bug bounty als loket bieden met vaak (voor deze context) onredelijke voorwaarden zoals nog meer beperkende geheimhoudingsplicht.

        1. Of erger: sommige organisaties zijn van mening dat hun beleid eenzijdig op te leggen is aan de melder als een soort algemene voorwaarden. Teksten met een fantasie als “door een melding te doen ga je akkoord met…” komen voor.

        2. Wat als je je dan bij een ander loket meld? Je kan je melding ook doen bij de servicedesk, functionaris gegevensbescherming, ciso of aangetekende brief naar het ‘hoofd ICT’.

          In hoeverre kan een bedrijf mijn pogingen om te voldoen aan mijn plicht iets bij hen te melden dwarszitten door te weigeren de melding aan te nemen?

          1. Dat kan, het punt van zorg is dat deze regeling expliciet zegt dat je via het CVDP of bug bounty programma moet melden. Als je dus de FG een mail stuurt, heb je de letter van de regeling geschonden en daarmee is formeel de route open voor het Openbaar Ministerie om je te vervolgen. En reken maar dat een beetje sjacherijnige bedrijfsjurist je dat laat weten in niet mis te verstane blafbrieven.

          2. Een praktisch voorbeeld: Ik heb een incident (meer dan een kwetsbaarheid) gemeld bij de gemeente Den Haag. De oorzaak en oplossing lagen bij de leverancier Cybersprint en de gemeente heeft mijn melding doorgezet naar de leverancier. De FG van de leverancier heeft me vervolgens heel erg duidelijk gemaakt dat de voorwaarden die op de site van de leverancier stonden, waarvan ik niet wist dat ze bestonden, juridisch afdwingbaar zijn. Wat mij betreft is het meer dan een theoretisch risico.

            1. In de vulnerability disclosure staat toch heel duidelijk dat de gemeente Den Haag geen juridische stappen neemt als je je aan hun voorwaarden houdt. Er staat niets over voorwaarden van leveranciers. Ik zou de FG van de gemeente Den Haag om opheldering vragen.

              Ik heb iets vergelijkbaars gehad met de parkeer-BV van een gemeente; uiteindelijk bevestiging gekregen dat ze zich houden aan de voorwaarden van die gemeente.

              1. Ondanks de disclosure van de gemeente Den Haag kan de leverancier de stappen nemen die hij/zij nodig vindt. Als de leverancier vervelend gaat doen zou ik contact opnemen met de gemeente en vragen of zij de leverancier in het gareel willen houden.

                Hackers Beveiligingsonderzoekers zijn vooral lastig voor softwarebakkers, klanten leveren geld op en kunnen makkelijker een vuist maken.

            2. Zijn ze erg goed in dat bluffen heb ik ook een keer gehad met een bedrijf dat afspraken niet nakwam, een greep uit mijn ervaringen:

              Op mijn opmerking dat ik het telefoongesprek waarin ze toezeggingen hadden gedaan had opgenomen kreeg ik een brief dat ik vervolgd zou worden vanwege privacy schending. ROFL

              Een Amerikaans bedrijf begon met dat hun helpdesk in een staat met all party consent was gevestigd bij een geschil, omdat ik de afspraken had opgenomen. Wederom ROFL, want het conflict was met de nederlandse dochter en naar Nederlandsrecht stond ik volledig in mijn recht het gesprek op te nemen.

              Ik neem alle gesprekken waarin afspraken gemaakt of toezeggingen gedaan zouden kunnen worden standaard op. Heeft me al verschillende keren geholpen de afgelopen 25 jaar dat ik dat doe. Maar je moet wel door de blafbrieven heen prikken die je dan standaard krijgt als ze erachter komen. NIemand maakt de gang naar de rechter en ze komen allemaal hun afspraken met frisse tegenzin na.

              1. Ik heb niet in de gaten gehouden of er wat veranderd is in de voorwaarden. Sinds mijn ervaring zijn ze overgenomen (dacht ik?) en er is best wat tijd overheen gegaan. Maar ze zijn een duidelijk en publiek gedocumenteerd voorbeeld. En de ervaring was vervelend genoeg om volgende issues die ik heb aangetroffen niet bij ze te melden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.