Ethische hackers, onze digitale dark knights, zorgen ervoor dat kwetsbaarheden bij ondernemingen en instellingen kenbaar worden gemaakt. Ethische hackers zijn goede veiligheidsstrijders maar verkeerden lang in een jurdisch vacuüm.
In 2020 heeft het Centrum voor Cybersecurity België (CCB) een gids gepubliceerd die publieke en private entiteiten aanmoedigt om een beleid voor de gecoordineerde bekendmaking van kwetsbaarheden in te voeren ( Coordinated vulnerability disclosure policy – CVDP). Dit beleid is een geheel van regels vanuit een organisatie die toestaat dat deelnemers met goede bedoelingen mogelijke kwetsbaarheden gaan opsporen of hier relevante informatie over bezorgen.
Wanneer ethische hackers het bestaan van een kwetsbaarheid vermoeden of er één ontdekken, genieten ze, afgezien van het bestaan van dergelijk beleid, geen wettelijke bescherming om hun veronderstellingen te controleren. Hier lopen zij wel degelijk een risico op vervolging. Bij het omzetten van de klokkenluiderrichtlijn heeft men de kans gegrepen om meer bescherming in te bouwen voor ethische hackers. Deze wet van 28 november 2022 treedt in werking vanaf 15 februari 2023.
In deze wet brengt afdeling 8 wijzigingen aan de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid ( De NIS-wet). Dat is de omzettingswet van de eerste NIS-richtlijn waarin de taken van het CCB (het nationale CSIRT) worden weergegeven.
Melders aan het CCB plegen geen misdrijf voor feiten die noodzakelijk zijn voor de melding indien:
1° Zij zonder bedriegelijk opzet of het oogmerk om te schaden hebben gehandeld:
Ethische hackers mogen de verantwoordelijke organisatie (bij gebrek aan een vooraf bepaald beloningsprogramma) of derden bijvoorbeeld niet trachten te laten betalen voor de ontdekte informatie. Zij mogen hun kwetsbaarheid niet in hun voordeel gebruiken.
2° Zij de organisatie die verantwoordelijk is voor het systeem, het proces of de controle zo snel mogelijk en uiterlijk op het ogenblik van de melding aan het CCB hebben ingelicht over de ontdekking van een mogelijke kwetsbaarheid.
Verschillende ontdekkingen kunnen in één melding gebeuren. Natuurlijke persoon of rechtspersoon die de melding doet moet hebben deelgenomen aan het onderzoek of een deel ervan. Hier betreft het nagaan van de aansprakelijkheid van de gebruikte onderzoeksmethoden.
3° Zij niet verder zijn gegaan dan nodig en evenredig was om het bestaan van een kwetsbaarheid na te gaan;
Wat is nodig en wat is evenredig? Meer richtlijnen van de CCB hieromtrent zijn zeker welkom. In de parlementaire voorbereiding van de wet wordt gesteld dat het CCB een indicatieve lijst van technieken zal publiceren.
4° Zij de informatie over de ontdekte kwetsbaarheid niet openbaar hebben gemaakt zonder de toestemming van het CCB
Personen die informatie melden over een mogelijke kwetsbaarheid waarvan zij in het kader van hun beroep kennis hebben gekregen, worden niet geacht hun beroepsgeheim te hebben geschonden en kunnen opgenerlei wijze aansprakelijk worden gesteld door de overdracht van informatie die noodzakelijk was om een mogelijke kwetsbaarheid aan het CCB te melden.
Opgelet! Voor elke andere mogelijke aansprakelijkheid van melders die voortvloeit uit handelingen of nalatigheden die niet noodzakelijk zijn voor de uitvoering van de procedure en die niet voldoen aan de voorwaarden blijft het toepasselijke recht gelden.
Wens je meer informatie, laat dan zeker niet na om contact op te nemen.
