Nieuws
image

Belgische wet moet werk ethische hackers vereenvoudigen, maar vragen blijven

maandag 8 mei 2023, 14:55 door Redactie, 4 reacties

Begin dit jaar kreeg België een nieuw wettelijk kader voor ethisch hackers die kwetsbaarheden in netwerken en systemen in België willen opsporen en rapporteren, maar vragen blijven, zo stellen onderzoekers van de KU Leuven. "De basisprincipes draaien rond het respecteren van de proportionaliteit en noodzaak: de onderzoeker mag enkel handelingen uitvoeren die noodzakelijk zijn om het bestaan van de kwetsbaarheid aan te tonen", zo legt het Centrum voor Cybersecurity België (CCB). uit.

Tenzij er vooraf een beloning is afgesproken is, zoals bijvoorbeeld bij een bugbountyprogramma of een afgesproken penetratietest, mag de onderzoeker geen beloning of betaling eisen. Eén van de nieuwe bepalingen is dat een ontdekte kwetsbaarheid zo snel mogelijk gemeld moet worden aan de verantwoordelijke eigenaar van het kwetsbare systeem en daarna bij het CCB. Alleen na toestemming van de Belgische overheidsinstantie mag de ontdekte kwetsbaarheid openbaar worden gemaakt.

Er blijven echter vragen bestaan over de precieze afbakening tussen legale (ethische) hacking en illegale hacking. "De nieuwe wet gebruikt namelijk de vrij open termen ‘noodzakelijk en evenredig’ om te beschrijven welke activiteiten nu zijn toegestaan", aldus onderzoekers van de KU Leuven die op persoonlijke titel spreken. "Noodzakelijkheid en proportionaliteit zullen altijd afhangen van de concrete situatie waardoor het soms moeilijk te voorspellen is welke technieken wel en niet gebruikt kunnen worden voor ethisch hacken."

Daarnaast mist de wet bepaalde bepalingen als het gaat om het informeren van het publiek over gevonden kwetsbaarheden. Ethische hackers kunnen hun bevindingen niet publiceren zonder toestemming van het CCB, maar er zijn geen aanvullende regels over hoe en wanneer het CCB die toestemming moet geven. "Dit kan ethische hackers beperken om het publiek te waarschuwen voor een kwetsbaarheid in gevallen waarin de organisatie deze niet wil of kan verhelpen."

Toch verwachten de onderzoekers dat de nieuwe wet het werk van ethische hackers eenvoudiger zal maken en zal helpen bij het blootleggen van kwetsbaarheden. "Uiteindelijk zal alleen de tijd leren in hoeverre de baanbrekende poging van België om ethisch hacken te legaliseren de cyberveiligheid in België daadwerkelijk verbetert", zo concluderen ze.

Reacties (4)
08-05-2023, 15:01 door Anoniem
Oftewel, gewoon niet ethisch melden maar verkopen aan de hoogste bieder.
Mocht de getroffene niet willen dat het lek in diens systeem verkocht word, moeten ze zelf maar afkopen.

Ik denk dat ze dan ineens heel snel betere voorwaarden neerzetten.
09-05-2023, 04:29 door Anoniem
Als de loodgieter en elektricien dan ook gratis komen is de deal niet zo slecht ...

Waarom zou er niet betaald moeten worden? De kennis om lekken te ontdekken komt ons ook niet bepaald aanwaaien en de schoorsteen moet ook roken. De enkele moraalridder die het voor een hoger doel doet zal al wel bij de politie of andere overheidsdienst aan de slag gaan.
09-05-2023, 09:17 door Bitje-scheef - Bijgewerkt: 09-05-2023, 09:18
Men ziet gewoonweg teveel beren op de weg. Soms terecht. Ik zou zeggen dat ethische hackers zich gewoon kunnen registreren bij justitie (na onderzoek), met een bepaald toezicht er geen probleem hoeft te zijn. (zie het als een soort BIG-registratie).

Duidelijke regels en wetgeving kan dan plaatsvinden (afkadering) en ook de straffen bij misbruik. Nu is het nog steeds een grijs gebied, met de nodige cowboys.
09-05-2023, 11:43 door Anoniem
Door Bitje-scheef: Men ziet gewoonweg teveel beren op de weg. Soms terecht. Ik zou zeggen dat ethische hackers zich gewoon kunnen registreren bij justitie (na onderzoek), met een bepaald toezicht er geen probleem hoeft te zijn. (zie het als een soort BIG-registratie).

Duidelijke regels en wetgeving kan dan plaatsvinden (afkadering) en ook de straffen bij misbruik. Nu is het nog steeds een grijs gebied, met de nodige cowboys.
Het grootste issue is wat mij betreft de verplichte en potentieel onbeperkte geheimhouding. Er is geen escalatiepad beschikbaar als de organisatie met een lek of de CCB voor een oplossing kan of wil zorgen. Op het moment dat je een lek vind waarvoor meerdere stakeholders snel geïnformeerd moeten worden moet je een keuze maken: alleen één organisatie in België informeren, iedereen behalve de organisaties in België informeren of erop vertrouwen dat ondanks wetgeving die het expliciet verbied en geen beleid dat er redelijke kaders voor bied hopen dat je niet strafrechtelijk wordt vervolgd voor het informeren van meerdere stakeholders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search