De overheid gaat ethische hackers uit de grijze zone halen. Sommige bedrijven geven al groen licht aan 'vriendelijke hackers', maar nu biedt de overheid hun een kader aan.
Net als elke poging tot inbraak in uw woning, is sinds 2000 elke poging tot hacking in België strafbaar. Zeker als onbevoegde buitenstaanders (externe hackers) een netwerk binnendringen. Maar het is ook het geval als mensen in het bedrijf of de organisatie hun bevoegdheden misbruiken (interne hackers).
Het Centrum voor Cybersecurity België, dat onder de eerste minister valt, had vorige week een ongezien overleg met ethische hackers. Dat zijn computerspecialisten die binnendringen in de netwerken van bedrijven, overheidsdiensten en andere organisaties, maar geen kwade bedoelingen hebben. Ze zoeken naar mogelijke veiligheidsrisico's in computernetwerken. Ondanks hun goede intenties zijn zulke pogingen tot hacking strafbaar in ons land. Een overleg met een overheidsdienst die de cyberveiligheid in België moet garanderen, is dus uitzonderlijk.
'Ik was verrast door hoe professioneel die mensen zijn. Het zijn IT'ers met veel ervaring die ook tegen betaling computersystemen testen, als penetration testers', vertelt Miguel De Bruycker, de topman van het Centrum voor Cybersecurity België. 'Maar soms botsen ze op zaken waarvoor ze geen mandaat hebben. Dan doen ze aan ethisch hacken, al noemen ze zichzelf liever security researchers dan ethische hackers.'
Er is goed nieuws voor de hackers. Juridisch werden eindelijk knopen doorgehakt om hun activiteiten in ons land te legaliseren. Dat bevestigt De Bruycker aan De Tijd en blijkt ook uit een parlementair antwoord van minister van Justitie Koen Geens (CD&V) aan N-VA-Kamerlid Brecht Vermeulen.
Er is geen wetswijziging voor nodig. Het Centrum voor Cybersecurity zal een standaardverklaring opstellen die alle bedrijven, diensten en organisaties in ons land die ethisch hacken willen toelaten op hun website kunnen publiceren. Die verklaring over hun beleid van 'responsible disclosure' (het openbaar maken van informaticakwetsbaarheden) volstaat om een juridische toestemming te geven aan hackers om kwetsbaarheden te melden.
'Let op, de hackers moeten werken binnen het kader dat het bedrijf heeft uitgestippeld', benadrukt De Bruycker. 'Bedrijven kunnen ons sjabloon aan hun wensen aanpassen. De ethische hackers die we vorige week hebben ontmoet, reageerden positief op de tekst die we opstelden.' Niet elk bedrijf of elke dienst moet ethische hackers voortaan dulden. Dat is vrijblijvend.
De Bruycker: 'In Nederland bestaat een vergelijkbaar concept en in een vergadering met andere Europese landen hoorden we dat ze die richting willen inslaan. Er bestaan extreme situaties waarin premiejagers kwetsbaarheden onderzoeken. Als ze die vinden, worden ze daarvoor betaald door bedrijven.'
Voor de zomer luidde het nog dat ethisch hacken misschien eerst uit de strafwet moest worden gehaald. Dat zou geen simpele klus worden. Hoe maak je een onderscheid tussen ethische hackers en hackers die met slechte bedoelingen een netwerk proberen binnen te dringen?
Een wetswijziging is niet meteen nodig, zegt minister Geens in zijn parlementair antwoord. 'Ethisch hacken is in het Belgisch recht niet strafbaar als een externe hacker toestemming heeft gekregen van de verantwoordelijke van het systeem. Als een buitenstaander zonder toelating het systeem binnendringt, is dat wel een misdrijf, ook als de dader bonafide is. Het Centrum voor Cybersecurity stelt voor om het beleid van responsible disclosure te beschouwen als een stilzwijgende toestemming tot toegang van het informaticasysteem, in overeenstemming met het strafwetboek.'
Geens laat ook weten dat het Centrum voor Cybersecurity een handleiding zal schrijven. Er is al overleg gepleegd met de overheidsdienst Justitie en met het college van procureurs-generaal. De finale tekst zal langs de procureurs passeren. 'Nadat de handleiding aan de regeringspartners is voorgelegd, wordt ze openbaar gemaakt', besluit de minister.
Lars Bové