Ethisch hacken niet meer strafbaar in België: zorgt dat voor meer veiligheid?

Bart van Bodegom, Teamlead & Security Specialist "Ethische Hackers" bij Orange Cyberdefense

België werd recent het eerste land waar ongevraagd ethisch hacken (onder voorwaarden) niet meer strafbaar is. Bij onze zuiderburen kunnen mensen die ongevraagd digitaal inbreken en organisaties vertellen waar de sloten stuk zijn, niet meer worden vervolgd. Is dit de oplossing om de veiligheid van bedrijven te verhogen?  

Om de veiligheid van personen en organisaties te waarborgen is het belangrijk dat er een motivatie is voor het verbeteren van securityproblemen. Als je als ethisch hacker niet weet wat je doet, is het mogelijk dat je zonder dat je het doorhebt schade aanricht aan het systeem waar je inbreekt en loop je onbedoeld kans de bedrijfsvoering van een organisatie te verstoren. In Nederland ben je dan met de huidige wet & regelgeving in overtreding.

België nodigt nu in principe mensen uit om te gaan experimenteren. Zolang je aan minimale randvoorwaarden voldoet mag je zonder vooraf ontvangen toestemming “overal op los hacken”. Dit zou de cyber veiligheid van Belgische organisaties gaan vergroten. Echter in deze constructie weten organisaties niet vooraf of er gehackt wordt. Dit geldt ook voor cybersecurity bedrijven die deze organisaties bijvoorbeeld monitoren op incidenten, zodoende dat dit onnodig 'ruis' kan veroorzaken.

In Nederland pleeg je – zonder vrijwaring – computervredebreuk. Je kunt dus niet zomaar op avontuur in de Nederlandse digitale jungle. Echter stellen Nederlandse organisaties (en de overheid) zich nu al ontvankelijk op voor feedback over hun digitale veiligheid. Zo nemen ze deel aan ‘Bug Bounty’ programma’s die mensen belonen als ze kwetsbaarheden in hun website/infrastructuur rapporteren. Of bieden ze mensen een ‘Coordinated Vulnerability Disclosure’ (CVD) aan. Kort uitgelegd: beide programma’s hebben duidelijke randvoorwaarden, een afgestemd proces over hoe bijvoorbeeld een lek wordt gemeld en opgevolgd en hebben geen risico’s voor beide partijen.

België opent de deur die onze overheid vooralsnog op slot houdt. Voor beide zaken valt iets te zeggen, maar het gaat er vooral om dat we ‘zinvol hacken’. We houden elkaar scherp als we laten zien wanneer er iets fout gaat. Het zou daarom goed zijn als instanties verplicht moeten deelnemen aan een Bug-Bounty-programma waar ze tegelijkertijd de verplichting hebben dat ze zaken die hieruit voortkomen móeten oplossen. Op die manier dwingen we hackers om met de juiste intenties te hacken.
Alleen zo kunnen we ervoor zorgen dat er toezicht wordt gehouden op ethisch hacken en dat organisaties veilig blijven.