Bescherming van ethische hackers onder het Belgisch recht – en hoe organisaties moeten reageren op kwetsbaarheden die aan hen worden gemeld (Timelex)

Auteurs: Janvier Parewyck en Seliha Buelens (Timelex)

De beveiliging van IT-systemen en de gegevens die ze bevatten, wordt steeds crucialer voor bedrijven en overheidsinstellingen, tot het punt dat het een politieke prioriteit wordt in het licht van inmiddels wereldwijde en soms door staten gesteunde IT-dreigingen zijn. Vanuit juridisch oogpunt nemen de beveiligingseisen exponentieel toe (vooral sinds de AVG, de Cybersecurity Act, de NIS2- en CER-richtlijnen, de CRA- en DORA-verordeningen, enz.). Het is in deze context dat de Belgische wetgever ervoor heeft gekozen om ethische hackers een bijzonder beschermingsregime toe te kennen. 

Ethische hackers zijn specialisten in cyberbeveiliging die hun vaardigheden op het gebied van hacken gebruiken om kwetsbaarheden in IT-systemen op te sporen en deze te melden aan de betrokken organisatie vooraleer ze kunnen worden geëxploiteerd door kwaadwillige hackers (“black hat hackers”).

Organisaties (zowel bedrijven als overheidsinstellingen) kunnen dergelijke specialisten en auditors inhuren, intern of extern, om een penetratietest (“pentest”) uit te voeren om kwetsbaarheden op te sporen, te ontdekken en te verhelpen en zo de beveiliging van hun systemen te verbeteren.

Een andere interessante mogelijkheid voor organisaties is het benutten van de spontane tussenkomst van bepaalde ethische hackers – individuen die autonoom en zonder voorafgaand contact kwetsbaarheden opsporen en besluiten deze op verantwoorde wijze te melden. Dankzij hun aantal en de diversiteit van hun vaardigheden kunnen deze ethische hackers soms eerder onopgemerkte kwetsbaarheden aan het licht brengen en zouden zij daarom moeten worden beschouwd als een waardevolle aanvullende hefboom in elke cyberbeveiligingsstrategie.

Historisch gezien kan een (gepoogde) inbraak in een IT-systeem strafbaar zijn als de ethische hacker geen voorafgaande toestemming heeft gekregen – wat uiteraard een aanzienlijke belemmering vormt. Om dit probleem te verhelpen, kiezen sommige organisaties ervoor om een beleid inzake gecoördineerde kwetsbaarheidsmelding (“Coordinated Vulnerability Disclosure Policy” of “CVDP“) in te voeren dat ethische hackers onder bepaalde voorwaarden uitdrukkelijk toelaat hun systemen te testen, of zelfs beloningsprogramma’s (“Bug Bounty-programma’s”) die gericht zijn op het aanmoedigen van het zoeken naar en melden van dergelijke kwetsbaarheden. In sommige gevallen is het zelfs wettelijk verplicht om een dergelijk CVDP in te voeren.

Bovendien, zelfs als de organisatie geen CVDP heeft of als de ethische hacker buiten de CVDP handelt, heeft de Belgische wetgever ervoor gekozen om ethische hackers bijzondere wettelijke bescherming te bieden om te voorkomen dat zij strafrechtelijk worden vervolgd wanneer zij een “nobel doel” nastreven. Ethische hackers kunnen op deze manier kwetsbaarheden melden zonder angst voor represailles.

Deze blogpost richt zich eerst op dit beschermingsregime en de toepassingsvoorwaarden ervan, voordat wordt ingegaan op de verplichtingen van organisaties die op de hoogte worden gebracht van kwetsbaarheden.

1. Protection from criminal prosecution

Het beschermingsregime wordt geregeld bij de Belgische wet van 26 april 2024 (NIS2-wet). Hoewel deze wet de NIS2-richtlijn omzet, is het niet nodig dat de organisatie onder NIS2 valt om bescherming te genieten – de wet heeft namelijk betrekking op kwetsbaarheden in om het even welke “ICT-dienst of -product” in de zin van de Cyberbeveiligingsverordening.

Artikel 23 van de Belgische wet beschermt ethische hackers (zowel natuurlijke als rechtspersonen) tegen strafrechtelijke vervolging in België. De ethische hacker moet aldus waakzaam zijn ten aanzien van de wetten die buiten België van toepassing zijn. Als hij vanuit een ander land handelt, als het doelbedrijf in een andere jurisdictie is gevestigd, of als de informatiesystemen elders zijn gehost, kan hij onderworpen zijn aan lokale wetgeving, die kan verschillen van de Belgische en juridische risico’s met zich mee kan brengen, zelfs indien hij te goeder trouw handelt.

De Belgische bescherming heeft betrekking op de expliciet opgesomde strafbare feiten (met betrekking tot inbraak in IT-systemen, onderschepping van gegevens en schending van het beroepsgeheim door personen die daartoe gehouden zijn) en is van toepassing indien aan de volgende vijf, of zelfs zes cumulatieve voorwaarden is voldaan:

1. Geen frauduleuze of schadelijke intentie.
2. De hacker doet een vereenvoudigde melding aan de organisatie en aan het Belgische Computer Security Incident Response Team (CSIRT) (binnen 24 uur na ontdekking), Het dient opgemerkt dat, indien de ethische hacker handelt binnen het kader van een CVDP, het CSIRT beschouwt dat zij niet hoeft te worden verwittigd. Dit lijkt logisch, aangezien de ethische hacker in dat geval reeds uitdrukkelijk gemachtigd is om kwetsbaarheden op te sporen en te melden, zodat zijn handelingen in principe geen strafbaar feit vormen. De hacker die zich op de CVDP wenst te beroepen, dient echter zeer zorgvuldig alle voorwaarden en modaliteiten na te leven en, in geval van twijfel, het CSIRT alsnog te verwittigen. Bovendien, bij melding moet het CSIRT de anonimiteit van de ethische hacker bewaren indien deze daarom verzoekt.
3. De hacker doet een volledige melding aan de organisatie en aan het Belgische CSIRT (binnen 72 uur).
4. Niet verder gaan dan wat noodzakelijk en proportioneel was.
5. Geen publieke bekendmaking van de kwetsbaarheid.
6. In bepaalde gevallen: voorafgaand een overeenkomst te zijn aangegaan (zie volgende titel).

2. Aanvullende voorwaarde voor kwetsbaarheden in IT-systemen en gegevens van onder meer ordehandhavingsdiensten

Voor het melden van kwetsbaarheden met betrekking tot bepaalde entiteiten zoals onder meer politie, inlichtingendiensten en gerechtelijke instanties, is het noodzakelijk om een voorafgaand akkoord te sluiten waarin de onderzoeksmethodes worden vastgelegd.

Het is dus belangrijk dat dit akkoord bestaat vóór aanvang van de beveiligingstesten, en niet nadat een kwetsbaarheid werd ontdekt. Indien aan deze aanvullende voorwaarde is voldaan, wordt dezelfde bescherming verleend aan de ethische hacker.

3. Andere mogelijke bescherming: de richtlijn over klokkenluiders

Het is nuttig om op te merken dat indien een van voormelde zes voorwaarden niet is vervuld – bijvoorbeeld indien er geen voorafgaande overeenkomst is gesloten of die niet kon worden nageleefd – de Europese Klokkenluidersrichtlijn en diens nationale omzettingswetten mogelijk een vergelijkbare bescherming bieden aan de ethische hacker, op voorwaarde dat de wettelijke vereisten inzake klokkenluiders strikt worden nageleefd. Voorzichtigheid is geboden en het is belangrijk om aandacht te besteden aan de omzettingswetten om een grondige, context-specifieke beoordeling uit te voeren.

Als u of uw bedrijf een kwetsbaarheid heeft ontdekt (binnen of buiten het kader van een CVDP) en zich afvraagt hoe te handelen, neem dan gerust contact met ons op. 

4. Geen specifieke verplichting voor het betrokken bedrijf of entiteit om de ethische hacker financieel te compenseren of publiek te erkennen

Zoals eerder vermeld, zijn organisaties vrij (of soms zelfs verplicht, bijvoorbeeld op grond van de Cyber Resilience Act, een certificatie of een cyberbeveiligingsstandaard) om een CVDP in te voeren, en kunnen zij ook beloningsprogramma’s voorzien voor ethische hackers die kwetsbaarheden ontdekken en rapporteren, bijvoorbeeld onder de vorm van een financiële vergoeding en/of publieke erkenning (zoals op een specifieke pagina “Acknowledgments” of “Security Hall of Fame”).

Bij gebrek aan een CVDP met een beloningsprogramma is de organisatie in principe niet verplicht om de ethische hacker te belonen.

De Belgische wet van 26 april 2024 biedt weliswaar bescherming, maar legt geen enkele compensatieverplichting op. Een ethische hacker die enige vorm van vergoeding eist zonder dat er een dergelijk programma bestaat, zou hoogstwaarschijnlijk buiten de voorwaarden van artikel 23 NIS2-wet handelen, aangezien de handelingen van de ethische hacker die onder de bescherming vallen beperkt zijn (cf. vierde wettelijke voorwaarde: de hacker mag niet verder gaan dan strikt noodzakelijk en proportioneel om het bestaan van een kwetsbaarheid te verifiëren en deze te melden, en dus geen enkele vorm van vergoeding of erkenning eisen).

Zelfs indien een ethische hacker meent recht te hebben op een vergoeding of compensatie voor zijn werk, mag hij in geen geval overgaan tot enige vorm van afpersing door een deel van de informatie met betrekking tot de kwetsbaarheid achter te houden, aangezien:

• De tweede en derde voorwaarde hem verplichten om alle relevante informatie over de kwetsbaarheid aan de entiteit en het CSIRT mee te delen binnen de termijnen;
• De eerste voorwaarde een frauduleuze of schadelijke intentie verbiedt, en afpersing dergelijke kwaadwillige intentie impliceert.

Ten slotte mag de ethische hacker de geïdentificeerde kwetsbaarheid ook niet publiek bekendmaken (vijfde voorwaarde).

Dat gezegd zijnde hebben organisaties er doorgaans alle belang bij om een financiële beloning of minstens enige zichtbaarheid te garanderen voor ethische hackers die kwetsbaarheden melden, omdat deze logischerwijs dan meer dan geneigd zullen zijn om hun systemen te testen en, in geval van ontdekking van een kwetsbaarheid, ervoor zullen kiezen om deze via veilige kanalen en volgens de door de organisatie bepaalde modaliteiten te melden (in plaats van ze illegaal aan derden te verkopen).

Ethische hackers zullen ongetwijfeld waarderen dat het Centrum voor Cybersecurity België (waar het Belgische CSIRT deel van uitmaakt) een “Wall of Fame” online heeft geplaatst en onderhoudt.

5. Wat zijn de verplichtingen van een organisatie die op de hoogte is gesteld van een kwetsbaarheid?

Het eerste deel van dit artikel richtte zich op de bescherming en verplichtingen van ethische hackers. Wat volgt is een overzicht van de verplichtingen van organisaties na het melden van een kwetsbaarheid.

Indien een kwetsbaarheid wordt geïdentificeerd door een ethische hacker ligt het voor de hand dat de organisatie de kwetsbaarheid onderzoekt en verhelpt om schadelijke gevolgen te voorkomen. Indien nodig kan zij zich laten bijstaan door het CSIRT.

Daarnaast kunnen er ook wettelijke verplichtingen voortvloeien uit verschillende regelgevingen, soms cumulatief.

5.1. Verplichtingen krachtens de NIS2-richtlijn 

Indien de organisatie onder de NIS2-richtlijn en de omzettingswetgeving valt, kan er een meldingsplicht zijn (niet van de kwetsbaarheid zelf, maar van de incidenten die deze eventueel heeft veroorzaakt), alsook een verplichting om corrigerende of mitigerende maatregelen te nemen.

Indien een kwetsbaarheid wordt ontdekt door een ethische hacker en wordt gemeld aan de betrokken organisatie, moet deze eerst een intern onderzoek voeren om te bepalen of deze kwetsbaarheid is geëxploiteerd door kwaadwillige actoren en een ernstige operationele verstoring heeft veroorzaakt of dreigt te veroorzaken (“significant incident”), in welk geval zij verplicht is dit te melden aan het Belgische CSIRT.

In bepaalde gevallen moet de organisatie ook het significante incident melden aan de afnemers van haar diensten.

Het dient opgemerkt dat deze meldingsverplichtingen ook bestaan als de ethische hacker de kwetsbaarheid reeds heeft gemeld volgens de hierboven beschreven beschermingsvoorwaarden.

Bovendien kunnen alle organisaties, ongeacht of zij onder de NIS2-richtlijn vallen of niet, vrijwillige meldingen doen.

Tot slot legt artikel 21 van de NIS2-richtlijn (artikel 30 van de Belgische NIS2-wet) ongeacht de meldingsplicht een algemene verplichting op om beveiliging te waarborgen en de “passende en evenredige technische, operationele en organisatorische maatregelen” te onderzoeken die nodig zijn om de risico’s te beheren – waaronder dus die welke voortvloeien uit de door de ethische hacker gemelde kwetsbaarheid.

5.2. Verplichtingen krachtens de AVG 

Een kwetsbaarheid die door een ethische hacker wordt ontdekt, kan mogelijks zijn uitgebuit door kwaadwillige actoren om de beveiliging van persoonsgegevens te schenden.

Indien het uitbuiten van een kwetsbaarheid heeft geleid tot een datalek, zijnde “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”, is artikel 33 van de AVG van toepassing.

• Indien de organisatie verwerkingsverantwoordelijke is, is zij verplicht om de gegevensbeschermingsautoriteit (GBA) te verwittigen, tenzij het datalek waarschijnlijk geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In bepaalde gevallen verplicht artikel 34 van de AVG bovendien om de betrokkenen in kennis te stellen. Opmerking: hoewel de CCB (Centre for Cybersecurity Belgium) als Belgische nationale autoriteit voor cyberveiligheid (waarvan het CSIRT deel uitmaakt) zelf de verplichting heeft om samen te werken met de gegevensbeschermingsautoriteiten en zelfs, in bepaalde gevallen, om hen op de hoogte te stellen van een (potentiële) datalek die haar is gemeld, is de meldingsverplichting uit hoofde van de AVG waaraan de verwerkingsverantwoordelijke onderworpen is, een afzonderlijke verplichting.
• Indien de organisatie verwerker is, moet zij de inbreuk “onverwijld” melden aan de verwerkingsverantwoordelijke zodat deze op zijn beurt de autoriteit kan verwittigen. Let op: ook de verwerkingsovereenkomst tussen de organisatie en de verwerkingsverantwoordelijke moet worden nageleefd, die mogelijk specifiekere termijnen bepaalt en contractuele aansprakelijkheid kan inhouden.

Daarenboven, overeenkomstig het beginsel van integriteit en vertrouwelijkheid (artikel 5.1.f) en het verantwoordingsbeginsel (artikel 5.2) van de AVG, is de verwerkingsverantwoordelijke verplicht om te garanderen dat zijn gegevensverwerkingen veilig zijn en moet dit kunnen aantonen. Bijgevolg zou de verwerkingsverantwoordelijke een door een ethische hacker gemelde kwetsbaarheid dus altijd moeten onderzoeken.

Bovendien verplicht artikel 32 van de AVG zowel verwerkingsverantwoordelijken als verwerkers om “passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico”. Het negeren van een kwetsbaarheid en/of het niet nemen van enige corrigerende maatregel kan een schending vormen van deze verplichting tot beveiliging van de verwerkingen.

5.3. Andere potentiële verplichtingen 

Er kunnen eveneens andere EU- of nationale verplichtingen van toepassing zijn, bijvoorbeeld als de organisatie een essentiële entiteit is in de zin van de CER-richtlijn, onderworpen is aan de CRA, of aanbieder is van openbaar beschikbare elektronische communicatiediensten.

Bron: Timelex