Belgische wet moet werk ethische hackers vereenvoudigen, maar vragen blijven
Begin dit jaar kreeg België een nieuw wettelijk kader voor ethisch hackers die kwetsbaarheden in netwerken en systemen in België willen opsporen en rapporteren, maar vragen blijven, zo stellen onderzoekers van de KU Leuven. "De basisprincipes draaien rond het respecteren van de proportionaliteit en noodzaak: de onderzoeker mag enkel handelingen uitvoeren die noodzakelijk zijn om het bestaan van de kwetsbaarheid aan te tonen", zo legt het Centrum voor Cybersecurity België (CCB). uit.
Tenzij er vooraf een beloning is afgesproken is, zoals bijvoorbeeld bij een bugbountyprogramma of een afgesproken penetratietest, mag de onderzoeker geen beloning of betaling eisen. Eén van de nieuwe bepalingen is dat een ontdekte kwetsbaarheid zo snel mogelijk gemeld moet worden aan de verantwoordelijke eigenaar van het kwetsbare systeem en daarna bij het CCB. Alleen na toestemming van de Belgische overheidsinstantie mag de ontdekte kwetsbaarheid openbaar worden gemaakt.
Er blijven echter vragen bestaan over de precieze afbakening tussen legale (ethische) hacking en illegale hacking. "De nieuwe wet gebruikt namelijk de vrij open termen ‘noodzakelijk en evenredig’ om te beschrijven welke activiteiten nu zijn toegestaan", aldus onderzoekers van de KU Leuven die op persoonlijke titel spreken. "Noodzakelijkheid en proportionaliteit zullen altijd afhangen van de concrete situatie waardoor het soms moeilijk te voorspellen is welke technieken wel en niet gebruikt kunnen worden voor ethisch hacken."
Daarnaast mist de wet bepaalde bepalingen als het gaat om het informeren van het publiek over gevonden kwetsbaarheden. Ethische hackers kunnen hun bevindingen niet publiceren zonder toestemming van het CCB, maar er zijn geen aanvullende regels over hoe en wanneer het CCB die toestemming moet geven. "Dit kan ethische hackers beperken om het publiek te waarschuwen voor een kwetsbaarheid in gevallen waarin de organisatie deze niet wil of kan verhelpen."
Toch verwachten de onderzoekers dat de nieuwe wet het werk van ethische hackers eenvoudiger zal maken en zal helpen bij het blootleggen van kwetsbaarheden. "Uiteindelijk zal alleen de tijd leren in hoeverre de baanbrekende poging van België om ethisch hacken te legaliseren de cyberveiligheid in België daadwerkelijk verbetert", zo concluderen ze.
Mocht de getroffene niet willen dat het lek in diens systeem verkocht word, moeten ze zelf maar afkopen.
Ik denk dat ze dan ineens heel snel betere voorwaarden neerzetten.
Waarom zou er niet betaald moeten worden? De kennis om lekken te ontdekken komt ons ook niet bepaald aanwaaien en de schoorsteen moet ook roken. De enkele moraalridder die het voor een hoger doel doet zal al wel bij de politie of andere overheidsdienst aan de slag gaan.
Duidelijke regels en wetgeving kan dan plaatsvinden (afkadering) en ook de straffen bij misbruik. Nu is het nog steeds een grijs gebied, met de nodige cowboys.
Duidelijke regels en wetgeving kan dan plaatsvinden (afkadering) en ook de straffen bij misbruik. Nu is het nog steeds een grijs gebied, met de nodige cowboys.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
