Hoe werkt het ethisch melden van IT kwetsbaarheden?

Navigeren door de Grijze Zone: Ethisch Hacken en de Grenzen van Wetgeving in België

De Belgische wetgeving introduceerde een nieuwe wet op 28 november 2022 ter bescherming van degenen die inbreuken binnen bedrijven melden. Deze wet biedt ethische hackers, onder voorwaarde, bescherming aan bij het hacken van bedrijven hun IT-infrastructuur.

Ethische hackers mogen dankzij nieuwe wet Belgische bedrijven hacken zonder toestemming: "Kijk hier al 10 jaar naar uit".

Deze titel las ik ongeveer een jaar geleden in VRT NWS. Een bedrijf hacken is goed en wel, ik vermoed dat de meeste cybersecurity professionals vertrouwd zijn met dit gedeelte. De vraag blijft, hoe ga je nu effectief ethisch om met het ontdekken van kwetsbaarheden binnen bedrijven? Welke handelingen dien je precies te nemen? Mag je waargenomen cyberkwetsbaarheden zomaar commercieel benutten? Waar ligt de grens als freelancer in een kapitalistische samenleving? Hieronder vind je een TLDR (too long; didn't read) voor cybersecurity professionals die bedrijven hun IT-kwetsbaarheden ethisch willen doorlichten.

Bescherming voor Ethical Hackers volgens de Belgische Wet van 28/11/2022

Belangrijkste voorwaarden

Wat zegt de wet?

• Je bent beschermd: Als je iets foutiefs ontdekt en meldt bij een bedrijf, beschermt de wet je tegen negatieve gevolgen (zoals ontslag of rechtszaken).

• Handel verantwoord: Zorg ervoor dat je informatie op een legitieme manier verkrijgt en dat je een sterke basis hebt om te geloven dat je melding juist is.

Wie wordt beschermd?

• Mensen die fouten of illegale activiteiten melden aan bedrijven, inclusief freelancers en organisaties zonder een directe werkrelatie met die bedrijven.

Wanneer is de melding geldig voor bescherming?

• Redelijke gronden: Je moet redelijk geloven dat wat je meldt waar en belangrijk is. Daarnaast dien je proportioneel te werken. Verschaf jezelf dus niet méér toegang dan nodig en bewaar ook niet meer gegevens dan nodig. Indien men kan aantonen dat je wel misbruik hebt gemaakt van verkregen toegang en gegevens, valt deze bescherming weg. Verder zijn activiteiten zoals ddos-aanvallen en het phishen van werknemers ook niet toegestaan.

• Geen beloning eisen: het niet toegestaan om jouw melding te serveren samen met een prijskaartje/paywall/losgeld/afpersing (obviously). Dat kan wel als daarover afspraken staan in een responsibledisclosurebeleid.

Hoe meld je best een cyberkwetsbaarheid?

• Als een bedrijf geen 'responsible disclosure' beleid heeft, moeten hackers dit eerst melden bij het Centre for Cyber Security Belgium voordat ze bedrijf zelf inlichten.

• Het melden van een kwetsbaarheid kan complex zijn, vooral als het bedrijf geen duidelijk beleid heeft voor responsible disclosure. Het Centrum voor Cybersecurity België (CCB) biedt gelukkig een beleidstemplate voor organisaties om deze uitdaging aan te gaan. Zie ook praktijk voorbeelden zoals die van VRT, de Vlaamse Overheid en Gemeente Aalst.

Voorbeelden van Ethische Overwegingen in Cybersecurity

1. Responsible Disclosure in België: In België, net als in veel andere landen, wordt van cybersecurity onderzoekers verwacht dat ze kwetsbaarheden op een verantwoorde manier melden. Dit betekent dat ze direct contact opnemen met het bedrijf of de organisatie die verantwoordelijk is voor het kwetsbare systeem en hen tijd geven om de problemen aan te pakken voordat ze details openbaar maken. Dit proces beschermt niet alleen de gebruikers van het systeem door het risico op misbruik te verminderen, maar het beschermt ook de onderzoeker tegen juridische gevolgen.

2. Coordinated Vulnerability Disclosure (CVD): Een voorbeeld van een ethische benadering van vulnerability disclosure is het Coordinated Vulnerability Disclosure proces. Dit proces moedigt de melder van de kwetsbaarheid aan om samen te werken met de organisatie en soms zelfs met CERTs (Computer Emergency Response Teams) om een veilige en gecontroleerde openbaarmaking te garanderen. In België kan het CERT.be een rol spelen bij het faciliteren van deze communicatie.

3. Bug Bounty Programma's: Veel bedrijven, waaronder enkele in België, hebben bug bounty programma's opgezet als een manier om ethische hackers te belonen voor het melden van kwetsbaarheden. Deze programma's bieden niet alleen een financiële stimulans voor het melden van problemen, maar stellen ook duidelijke richtlijnen vast over hoe kwetsbaarheden gerapporteerd moeten worden en binnen welke termijn het bedrijf reageert. Zie voorbeelden: HackerOne, Bugcrowd, Intigriti, Synack.

4. Wetgeving en Richtlijnen: In de Europese Unie, en dus ook in België, zijn er richtlijnen en wetgevingen zoals de GDPR (Algemene Verordening Gegevensbescherming) die implicaties hebben voor hoe bedrijven moeten omgaan met kwetsbaarheden, vooral als deze betrekking hebben op persoonsgegevens. Het niet tijdig melden van een datalek kan leiden tot aanzienlijke boetes.

5. Ethische Dilemma's: Cybersecurity onderzoekers kunnen voor ethische dilemma's komen te staan, zoals wat te doen als een bedrijf niet reageert op een gemelde kwetsbaarheid. In dergelijke gevallen moet de onderzoeker beslissen of, wanneer en hoe de kwetsbaarheid publiek te maken om de gemeenschap te beschermen, zonder onnodig schade toe te brengen aan het betrokken bedrijf.

Wat ligt niet in lijn met wat verwacht wordt volgens de Belgische Wet en het Centrum voor Cybersecurity België (CCB)

1. Openbaarmaking zonder eerst contact op te nemen met het bedrijf of CCB: De Belgische wet en het CCB verwachten dat ethische hackers een kwetsbaarheid eerst melden aan het betrokken bedrijf of via het CCB, in plaats van deze meteen openbaar te maken. Dit betekent dat je niet zomaar een kwetsbaarheid openbaar mag maken zonder het bedrijf of CCB voldoende tijd te geven om de kwetsbaarheid op te lossen.

2. Geen overleg met het bedrijf of CCB: Het is vereist dat ethische hackers in overleg treden met het bedrijf of het CCB voordat ze verdere stappen ondernemen. Dit overleg is essentieel om de mogelijke gevolgen van een kwetsbaarheid te bespreken en om samen te werken aan een gecoördineerde oplossing.

3. Verkrijgen van toegang zonder toestemming: Hoewel de wet bescherming biedt voor ethische hackers, is deze bescherming beperkt tot gevallen waarin de hacker geen onnodige of excessieve toegang verkrijgt. Handelingen zoals DDoS-aanvallen, het exploiteren van de kwetsbaarheid voor persoonlijke of commerciële doeleinden, of het verkrijgen van toegang tot meer gegevens dan noodzakelijk, vallen niet onder de bescherming van de wet.

4. Geen gebruik maken van 'Responsible Disclosure' beleid: Als een bedrijf geen duidelijk beleid heeft voor responsible disclosure, verwacht het CCB dat de kwetsbaarheid eerst aan hen wordt gemeld voordat de ethische hacker zelf contact opneemt met het bedrijf. Het overslaan van deze stap kan als onethisch worden beschouwd en kan juridische gevolgen hebben.

5. Eisen van een beloning zonder afspraken: Het is niet toegestaan om een kwetsbaarheid te melden met een directe eis om daarvoor betaald te worden, tenzij hierover vooraf duidelijke afspraken zijn gemaakt, zoals via een bug bounty programma. Dit zou kunnen worden gezien als afpersing.

Welke bedenkingen blijven over?

Zoals men zegt "you get the justice you can afford.". Het is interessant om te zien hoe effectief klokkenluidersbescherming blijkt in de praktijk.

Stel dat je toch geconfronteerd wordt met juridische stappen na het correct melden van een geobserveerde kwetsbaarheid, wat dan? Hoeveel kopzorgen gaan gepaard met het beroep doen op de bescherming die deze wet biedt? Hoe vertaalt de ondersteuning onder deze nieuwe wet zich in de praktijk? Hoeveel tijd & euro's spendeer je om van de bescherming te genieten die de wet claimt te bieden? De tijd zal via de nodige precedenten deze vraag beantwoorden. Hopelijk behoren gerechtelijke fratsen zoals Inti De Ceukelaire ervaren heeft, effectief tot het verleden.