Dit bericht gaat over de reden waarom ik waarschijnlijk nooit meer een organisatie in België zal waarschuwen voor een kwetsbaarheid. Zo opent een recente blog van securityonderzoeker Floor Terra. Kort en goed: hij wilde een Belgische overheidsinstantie op een securitylek wijzen en kreeg te horen dat dat via het CCB moest en hij voor eeuwig erover moest zwijgen op straffe van celstraf.
In 2023 berichtte ik dat men in België dankzij een nieuwe wet Belgische bedrijven mocht “hacken zonder toestemming”:
Sinds vorig jaar november geldt in België een kaderwet voor de beveiliging van netwerk- en informatiesystemen, waarbij het Centrum voor Cybersecurity België (CCB) de coördinerende instantie is. Eén van hun taken (art. 62 van die wet) is het nemen van maatregelen om te reageren op incidenten, problemen op te sporen et cetera. Die bevoegdheid is ingezet om een beleidsmaatregel te nemen (zouden wij zeggen) over de bekendmaking van kwetsbaarheden aan het CCB.Het melden van zulke kwetsbaarheden staat binnen de securitywereld bekend als een coordinated vulnerability disclosure of CVD. Dat lijkt heel formeel maar kan zo simpel zijn als een mailtje met een tip “je kunt inloggen met het wachtwoord hunter2” naar de helpdesk. Het gaat om het woord ‘coordinated’, dat aangeeft dat je samenwerkt bij de timing van de ‘disclosure’, de publicatie die je in beginsel gerechtigd bent te doen. Bijvoorbeeld: jij hebt 30 dagen nodig om het te fixen, ik publiceer op dag 31.
In die beleidsmaatregel staat bij punt 5 echter dat je als melder “[g]een informatie openbaar maken zonder toestemming van het CCB.” Dat is niet echt een coordinated disclosure. Ik zei toen al:
Natuurlijk kun je als CCB zeggen, niets aan de hand want zodra de situatie veilig is dan geven wij uiteraard toestemming. Maar een afhankelijkheid van een welwillende instantie is niet hetzelfde als een wettelijk recht om iets te mogen doen. Dus dat is wel een vervelende beperking.Precies dit gebeurde dus bij deze melding. De onderzoeker zag een kwetsbaarheid, meldde deze zoals het CVB-beleid voorschreef en kreeg te horen te moeten zwijgen tot nader order. Op navraag kreeg hij toestemming om in zeer algemene termen te mogen publiceren over het concept, zonder man en paard te noemen. Dat werd gevolgd door deze reactie:
REDACTED heeft in deze meer gedaan dan nodig. We hadden ook de wet, die deze levenslange geheimhouding oplegt, op de letter kunnen volgen en u geen toegeving kunnen doen. Wij houden ons ook aan deze ene toegeving en indien nodig trekken we ze in.De weggelaten persoon stelt zich dus op het standpunt dat het CCB beleid ‘wet’ is, en dat het enkel negeren van de beleidsregel leidt tot strafbaarheid.
Even een stapje terug. CVD-beleid is er gekomen vanwege het spanningsveld tussen ontdekken van problemen en computervredebreuk. Soms zie je iets geks en ga je even peuteren wat er dan gebeurt. In een kantoorgebouw noem je dat “kijken of die kluis echt op slot zit” en in een ict-omgeving noem je dat “opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan” oftewel computercriminaliteit.
Het is op zich alleen maar wenselijk dat mensen je melden dat je digitale kluis open staat. En dat men erover publiceert, is niet alleen een grondrecht (uitingsvrijheid) maar ook nuttig voor andere organisaties met dat type kluis. CVD-beleid zoekt daarin een balans, met name door tijd in te bouwen waarin het lek gerepareerd kan worden.
Ik vind het búitengewoon ergerlijk dat deze beste praktijk van “ik wacht wel even tot jij het gefixt hebt want het lijkt me vervelend voor je klanten/gebruikers als dit misbruikt wordt” in de juridisch-organisatorische context is geëvolueerd naar “een melder moet zijn mond houden en wij bepalen wel of en hoe we het fixen”. Sterker nog, het beginsel CVD is een reactie op precies deze opstelling dat je niets mag zeggen tot het bedrijf zegt van wel.
Maar goed, stel je negeert die beleidsregel, wat dan? Dan kom je terug bij: je hebt iets in een ict-systeem gedaan dat niet de bedoeling was. Dat is inderdaad vaak computervredebreuk te noemen, al is dat natuurlijk geen gegeven. Maar je neemt door niet het beleid te volgen wel het risico dat het OM besluit je te vervolgen, en dan moet je maar hopen dat het bij de strafrechter afgewezen wordt omdat bijvoorbeeld je opzet ontbrak of omdat het algemeen belang jouw handelen rechtvaardigt.
Arnoud
En vervolgens gaat geen enkele hacker met welke kleur hoed dan ook ooit nog in België een organisatie of bedrijf vertellen dat er een probleem is. Dit is dus in feite net doen alsof er geen problemen zijn, want dan zijn ze er ook niet toch? Gefeliciteerd, het is nu een stuk onveiliger geworden!
Ah, zie, dat is waar je het mis hebt, dat is het absoluut briljante van het Belgisch systeem zie je, er zijn namelijk geen security problemen meer, dus het is nu een heel stuk veiliger geworden!
Ik begrijp goed dat het lang kan duren voor er een nette structurele goed geteste fix is, zeker als het moet komen van toeleveranciers. Er zullen dan ook vast situaties zijn waar je vriendelijk wilt vragen om bv. 60 dagen te wachten.
Maar als het zo lang moet duren dan wil je nu een quick & dirty fix om je risico weg te nemen… En niet collega-organisaties met hetzelfde product ook onveilig houden voor 60 dagen + oplostijd voor hen.
Als het niet de white hat is die het vindt dan is het een dag of maand later -of een maand eerder- wel een black hat.
Resultaat zal inderdaad zijn dat niet meer wordt gemeld in België. Misschien wel in een ander land als hetzelfde systeem daar ook wordt gebruikt. Dan loopt men daar simpelweg fors achter de feiten aan en leert pas van het probleem als het publiekelijk bekend is geworden. En Belgie-specifieke applicaties / diensten / configuraties gaan helemaal onveiliger zijn omdat dat nooit wordt gemeld. Tot er een vriendelijke mail komt met melding naar welk bitcoinadres mag worden overgemaakt om je data te houden.
Jouw angst is dat het niet meer gemeld wordt en puur Belgissche diensten dus onveilig blijven.
Maar ik zie bij ernstige fouten die grote gevolgen voor Belgen kunnen hebben ook nog wel gebeuren dat het net als vroeger anoniem gemeld gaat worden met de mededeling en los het maar binnen een maand op want daarna staat het op een dump site. Uiteindelijk als beveiligingsonderzoeker doe je het voor eindgebruikers wiens data onveilig zijn, niet voor de bedrijven die je dwars liggen.
Je drukt een goede zaak dus weer het illegale in.
Ik mag niets zeggen over het lek zelf, maar ik denk dat ik wel kan zeggen dat ik binnen een uur nadat ik de melding had gedaan het hele systeem offline was gehaald. Vanaf dat moment was er geen risico meer op misbruik. Pas daarna heb ik het CCB geinformeerd zoals ik verplicht was en heb ik gevraagd om het opheffen van de geheimhoudingsverplichting, eventueel op een later moment. Het antwoord was een heldere “nee” en is dat nog steeds. Dit gaat niet om nuances in de doorlooptijd die nodig is om een lek op te lossen.
Ik heb zelf relatief veel met de overheid in Belgie te maken, en mijn indruk is dat de meeste ambtenaren echt wel van goede wil zijn en niet onredelijk zijn, maar…. dat de (nationale) politiek nogal een grote rol speelt binnen de administratie, met als gevolg dat voor de kleinste scheet politieke toestemming wordt gezocht (via formele of informele kanalen).
En uiteindelijk komen beslissingen dan neer op een of twee politieke personen (of hun medewerkers), die veel andere zaken aan hun kop hebben en misschien beperkt begrip van de essentiele issue hebben. En vragen/instructies kunnen natuurlijk ook nog eens verkeerd begrepen worden door de vele tussenstappen.
Kortom, de Belgische overheid is zodanig groot dat die zichzelf begint tegen te werken, zonder dat er per se sprake is van onkunde of een gebrek aan respect voor juridische/democratie basisbeginselen.
Het zou me niets verbazen als dat hier ook het geval is.
Ik las jouw blog hierover en begrijp ik nu goed dat men in België van mening is dat als je een beveiligingslek vind in software die door een belgische entiteit gebruikt wordt, je wettelijk verplicht ben t die te melden via deze organisatie. Dus dat je strafbaar bent als je niet meldt, zelfs als je voor het ontdekken van het lek niets strafbaars hebt gedaan?
Dat is een onhoudbare wet. Want dat betekent dat een ieder die in een lek in een groot framework vindt, waar vrijwel gegarandeerd een Belgische gebruiker is, onder deze wet zou vallen en in België vervolgd zou kunnen worden als er geen melding gemaakt wordt.
Elke bug hunter in de wereld zal op een gegeven moment strafbaar zijn in België!
Jij geeft in jouw blogpost aan geen onderzoek meer te doen als je vermoed dat er Belgen getroffen worden en alle logs gewist worden. Ik zie niet hoe jij dan nog je werk kan uitvoeren. De belangrijkste software, die die breed gebruikt worden, kan je dan niet meer onderzoeken.
Ik zou in die zaak betogen dat door het systeem offline werd gehaald, de organisatie afdoende maatregel nam om voor hen het risico te beperken. Dat is aan te merken als fix en heft dan ook in redelijkheid de publicatiestop op. Er is namelijk ook nog het algemeen belang. Ik zou zeggen publiceren en een (proef)proces riskeren. Dat is ook een test.
Een voorbeeld van de chaos en vertraging die deze wetgeving in de praktijk geeft: https://devae.re/posts/belgian-cvd-is-deeply-broken/
Hoe wordt het in de praktijk in Nederland ervaren?
Rijksoverheid / http://www.ncsc.nl/contact/kwetsbaarheid-melden lijkt de Belgische route te volgen: “Het NCSC streeft ernaar het door u gemelde beveiligingsprobleem in een systeem uiterlijk binnen 60 dagen op te laten lossen. In overleg bepalen we, na oplossen van het probleem, of en op welke wijze erover wordt gepubliceerd.”
Waterschappen / http://www.cert-wm.nl/rd zegt nee: “Wij vragen u ook om de kwetsbaarheid niet openbaar te maken of te delen met derden”
Gemeenten / https://www.informatiebeveiligingsdienst.nl/responsible-disclosure/ zijn concreter over wanneer openbaar maken kan: “niet toegestaan Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost”
Hoger onderwijs http://www.surf.nl/coordinated-vulnerability-disclosure is ietwat ambigu maar lijkt helemaal open: “Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden. Wij zijn graag betrokken bij een eventuele publicatie over de zwakheid, nadat deze is opgelost.“
In Nederland hebben we een afwegingskader dat gebruikt wordt door organisaties met een beleid en door het OM. Dan gaat het erom of er aangifte gedaan wordt en daarna, of deze door het OM in behandeling genomen wordt.
Onderdeel van dat afwegingskader is dat je als melder meegewerkt hebt aan het proces, en dus of je het geheim hebt gehouden tot het opgelost is (of tot er een redelijke termijn is verlopen).
In die zin is dat dus een verzoek (met mogelijke consequenties), maar zeker geen plicht zoals in Belgie.
En voor zover ik heb meegemaakt, wordt dat ook zo ervaren door melders.
Waaruit blijkt dat de Belgische regeling een wettelijke plicht is? Voor zover ik het kan nagaan, is het ook daar geconstrueerd als een veilige haven. Doe het zo, en je kunt niet worden vervolgd. Ik zie geen wettelijke basis waaruit blijkt dat de regeling negeren op zichzelf strafbaar is, dus los van of je onderliggend handelen bijvoorbeeld computervredebruek is.
“Welke verplichtingen het u in het kader van …”
http://ccb.belgium.be/nl/cert/bekendmaking-van-kwetsbaarheden-aan-het-ccb
Misschien geen letterlijk wettelijke plicht, maar zo zou je dat toch al snel kunnen lezen.
Ja. Ik baseer me op
Men stelt dus een kader waarmee je niet meer schrik hoeft te hebben voor vervolging, mits je je stipt houdt aan de voorwaarden.Oftewel: het is niet verboden de voorwaarden te negeren, maar dan zul je schrik behouden voor strafrechtelijke vervolging.
Eigenlijk is het fundamenteel uiterst bizar: door iets wat je later doet/nalaat kun je de strafbaarheid van een eerdere daad beinvloeden.
Is dat rechtsfilosofisch wel verdedigbaar?
Het begint bij: je deed iets dat in beginsel strafbaar is. Het OM zegt nu “we gaan je niet vervolgen als je netjes X doet want X vinden we fijn.”
Dat is waar en was ik even vergeten.
Maar dat is nu net niet waar. Het OM zegt ‘we gaan je niet vervolgen als je netjes X doet, want een externe organisatie vindt X fijn en ieder externe organisatie heeft een verschillende X en het zal ons worst zijn hoe relevant/nuttig/redelijk/conflicterend met grondrechten al die verschillende X-en zijn. Wij laten ons dus voor het karretje van externe organisaties spannen’
Dat vind ik een wat te scherp aangezette invulling. Het OM-beleid rond responsible disclosure gaat nadrukkelijk uit van het algemeen belang dat mensen die netjes melden en coordinated disclosure (CVD) doen, niet vervolgd moeten worden. CVD bevat inherent dat je samenwerkt om de publicatie af te stemmen, maar niet dat het getroffen bedrijf het laatste woord heeft. Het OM zegt ook “Bij de beoordeling om vervolging in te stellen tegen een ethisch hacker, zal de bijdrage die CVD levert aan een veilige digitale wereld zwaar wegen. ” Dus als jij publiceert tegen de wil van het bedrijf, maar je kunt onderbouwen dat dit beter is voor de maatschappij, dan zit je goed.
Je kunt wachten tot het misdrijf is verjaard. Afhankelijk van de gradatie van het ‘uitproberen’ is de verjaringstermijn 10 of 15 jaar.
Zolang jij niets openbaar maakt is er geen misdrijf. Dat is er pas als je zaken naar buiten brengt die je niet naar buiten mag brengen. Er zal dus niets verjaren.
Het misdrijf is het inbreken op het systeem. Wanneer je aan de voorwaarden voldoet (o.m. geheimhouding), heb je een rechtvaardigingsgrond.
Melden met een alternatieve identiteit. Publiceren na 30 dagen met een alternatieve (klokkenluiders) identiteit.
Wel zorgen dat je ook echt anoniem bent, en niet te fingerprinten.
Hier kan je je toch ook aan aanpassen.
Als jij een fout vindt dan neem documenteer je die fout. En laat je die door een andere beveiligings onderzoeker beoordelen of het inderdaad een security flaw is. Desnoods door die prive een filmpje van de hack te tonen.
Daarna rapporteer je de hack en comiteer je jezelf pas aan de geheimhouding, maar de reviewer doet dit niet.
Als die Belgen dan dwars liggen en eeuwige geheimhouding eisen, dan publiceert de peer reviewer na 60 dagen over de fout. Deze persoon heeft zelf geen onrechtmatige daad gepleegd, noch zich aan geheimhouding gebonden.
Ook in Nederland kan het bij de toezichthouders melden van critical vulnerabilities tot problemen leiden. Er bestaat – voor zover ik weet – momenteel geen enkele wettelijke plicht om door jou zelf ontdekte critical vulnerabilities in systemen (van jezelf of van derden) te melden bij toezichthouders. Ook niet in NIS2 en DORA. Ook is er (tot eind 2027 conform de Cyber Resilience Act) geen wettelijke plicht voor fabrikanten/leveranciers om CVA-beleid te hebben op grond waarvan misstanden na een bepaalde tijd risicoloos aan toezichthouders gemeld of publiek geopenbaard mogen worden. Dit soort wetgeving gebiedt alleen het bij toezichthouders melden van succesvolle exploits/hackpogingen door derden (significante incidenten/gebeurtenissen – en een vulnerability is geen incident of gebeurtenis). Zo lang je alleen zelf de vulnerability kent, hoef je hem niet te melden. Ongeacht hoe ernstig het door anderen uitbuiten ervan ook moge zijn. Als het gaat om je eigen systemen en je kunt ze zelf niet patchen, dan is melden aan toezichthouders natuurlijk geen probleem (veel bedrijven zullen dit doen, zeker in gereguleerde sectoren). Maar als het gaat om bij jou bekende vulnerabilities in systemen van derden/leveranciers, kan je – bij gebrek aan wettelijke vrijwaringsregelingen – aanzienlijke juridische en financiële risico’s lopen als je toch meldingen bij toezichthouders doet of je de kwestie zelfs publiekelijk bekend maakt (dit dus vooral in situaties waarin een fabrikant/leverancier zich niet aan CVD-beleid verbonden heeft). Het OM zal ook jou(w bedrijf) dan weliswaar niet snel vervolgen als je alles netjes deed. Maar de derde/leverancier wiens product je gebruikt en waarvan je de zwakte ontdekt hebt, is meestal geheimhouding met je overeengekomen. Zeker als je de betreffende vulnerability tijdens het pentesten – waar je netjes schriftelijk voorafgaande toestemming voor had – vond is geheimhouding essentieel. En is de schadeclaim die je mag vrezen als je uiteindelijk toch niet geheimhoudt dus in potentie enorm. Naar mijn mening is het bestaan van dit risico voor goedbedoelende melders van critical vulnerabilities een lacune in wetgeving die gedicht dient te worden. Dit kan door het hebben van CVD-beleid te verplichten aan partijen die software/systemen commercieel aanbieden in de EER. Of door wettelijk te regelen dat melders (bij toezichthouders) – in bepaalde gevallen, zoals wanneer een fabrikant te lang stil zit – niet voor de door fabrikanten van de software geleden schade aansprakelijk zijn. In de EU-Cyber Resilience Act/Verordening cyberweerbaarheid zit gelukkig al wel een verplichting voor fabrikanten van bepaalde producten om CVD-beleid te hebben. Deze verplichting geldt echter pas vanaf december 2027 en veel software en systemen vallen buiten scope van deze wetgeving.
Toevallig is dit iets waar ik al eens ingedoken was. En hopelijk zie ik wet- en regelgeving waar “melders van critical vulnerabilities” wat aan kunnen hebben over het hoofd! (ik lees het graag). Nb @Arnoud: klopt het dat je “Stuur me een mail bij nieuwe reacties”-systeem niet naar behoren functioneert?