Home Security Hoe waterdicht is het nieuwe Belgische wettelijk kader omtrent hacking?

Hoe waterdicht is het nieuwe Belgische wettelijk kader omtrent hacking?

G DATA CyberDefense -
83

Onlangs is in België een nieuw wettelijk kader opgesteld door het Centrum voor Cybersecurity België (CCB) om ethische hackers – ook wel white hat hackers –  te beschermen tegen vervolging. België is het eerste Europese land dat een dergelijk kader invoert. Toch kent het wettelijk kader een aantal haken en ogen. Hoe waterdicht is deze nieuwe wet?

White hat hackers zijn ethische hackers die uitsluitend met goede bedoelingen opereren en in principe niet strafbaar zijn. Ze proberen – in overleg met een organisatie of individu – kwetsbaarheden op te sporen om te voorkomen dat ze slachtoffer worden van cybercrime. Naast white hat hackers zijn er ook grey hat hackers en black hat hackers actief. In tegenstelling tot white hackers, zijn de activiteiten van black hat hackers illegaal en kwaadwillig. Ondanks dat de acties van grey hat hackers vaak goedbedoeld zijn, zijn ze in veel gevallen ook illegaal omdat de hackers pas achteraf om toestemming vragen.

Goedbedoeld, illegaal of gelegitimeerd; hackers hebben uiteenlopende motieven. Van het financiële gewin, het schaden van de reputatie van een organisatie, industriële spionage, sociale/politieke achtergronden tot aan staatsgesponsorde hacking. De lijn tussen legale en illegale cybercrime is dun. Zelfs white- en grey hat hackers met goede intenties kunnen vervolgd worden vanwege hun werkwijze.

De angst voor gerechtelijke vervolging vormt een belemmering voor ethische hackers bij het opsporen en melden van kwetsbaarheden. De nieuwe Belgische wet moet ethische hackers hiertegen beschermen, maar daarvoor moeten ze wel aan strikte voorwaarden voldoen. Zo moet onder andere de eigenaar van de kwetsbare technologie tegelijkertijd met het CCB op de hoogte gesteld worden, mag de hacker geen frauduleuze intenties hebben en mag informatie over de kwetsbaarheden niet publiekelijk gemaakt worden zonder de toestemming van het CCB.

Het wettelijk kader garandeert dus handhaving van de regelgeving en houdt ethische hackers tegelijkertijd een hand boven het hoofd. Toch brengt invoering van de wet een aantal nuances met zich mee. Mag een white hat hacker bijvoorbeeld een volledige penetratietest uitvoeren zonder dat de desbetreffende organisatie daarvan op de hoogte is? En mag een hacker een zero day releasen op alle Belgische IP-adressen? Deze vragen gaan over een grijs gebied.

De meldprocedure ondervangt dit momenteel nog niet. Wellicht zou een portfolio van eerder aangedragen kwetsbaarheiden en werkwijzen een aanvulling zijn op het formulier. Op deze manier kan de hacker makkelijker getypeerd worden en bouwt hij als het ware een track record op. Ook de intentie van de hacker is van belang, maar hoe is deze te doorgronden? En hoe is vast te stellen dat het meldingsformulier naar waarheid is ingevuld? Allemaal zaken die nu nog niet ingevuld zijn in de huidige wettekst. Het is duidelijk dat verder onderzoek nodig is om eventuele conflicten te voorkomen.

Samenvattend is de wet ontwikkeld om hackers te ondersteunen die toevallig tegen een kwetsbaarheid aanlopen, niet om hackers te ondersteunen die doelgericht het hele web scannen op malware. White hat hackers die bijvoorbeeld zonder toestemming van het CCB data verwijderen of publiceren om aan te tonen dat ze een bug hebben gevonden, zijn alsnog strafbaar. De wet brengt dus – zoals bedoeld – extra bescherming met zich mee voor ethische hackers die toevallig een kwetsbaarheid opsporen. Maar tegelijkertijd zijn er nog veel discrepanties en is de wet nog niet waterdicht. Het is dus zeker geen vrijbrief voor hackers om doelbewust het internet te onderzoeken op kwetsbaarheden.

Dirk Cools, Country Manager BeLux en Frankrijk bij G DATA CyberDefense

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in