Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024

Versoepeling voor ethisch hacken en bescherming van ‘White Hat Hackers’ (KPMG Law)

Auteur: KPMG Law

Op 15 februari 2023 trad in België de nieuwe Klokkenluiderswet in werking. Dit brengt voor de meeste ondernemingen verschillende nieuwe verplichtingen met zich mee, zoals het opzetten van een intern meldingskanaal. Terzelfdertijd zorgt deze wet voor een versoepeling inzake het zogenaamde ‘ethisch hacken’.

Het nieuwe wettelijke kader voorziet in een objectieve rechtvaardigingsgrond, die toestaat aan elke natuurlijke of rechtspersoon om, zonder frauduleuze bedoelingen of de intentie om schade te berokkenen, bestaande kwetsbaarheden in netwerken en informatiesystemen in België op te sporen en te melden, mits naleving van bepaalde voorwaarden.

De Klokkenluiderswetgeving zorgt voor een toevoeging van artikel 62/1 en 62/2 in de wet van 7 april 2019, die betrekking heeft op de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS-wet). Deze artikelen bieden extra bescherming aan “ethische hackers” die kwetsbaarheden rapporteren aan het bevoegde Cyber Security Incident Response Team.

Hacking

Hacking kan, in de meest gangbare vorm, worden omschreven als het ongeoorloofd binnendringen in een computersysteem met kwaad opzet. Met betrekking tot “hacken” wordt veelal het onderscheid gemaakt tussen (i) ‘externe hacking’, waarbij iemand van buitenaf zich toegang verschaft tot een IT-systeem wetende dat hij/zij daartoe geen toegang heeft en (ii) ‘interne hacking’, waarbij iemand wel een bepaalde toegangsbevoegdheid heeft, maar deze overschrijdt.  Externe hacking is altijd strafbaar. Interne hacking is enkel strafbaar in de mate dat het met bedrieglijk opzet of met het oogmerk om te schaden gebeurt. Artikel 550bis van het Strafwetboek bestraft beide misdrijven met een gevangenisstraf van zes maanden tot drie jaar en met een geldboete van zesentwintig euro tot vijfentwintigduizend euro of met een van die straffen.

Ethische hacking

Ethische hackers (ook wel ‘white hat hackers’ genoemd) zijn mensen die, professioneel of occasioneel, kwetsbaarheden in systemen zoeken. In plaats van deze kwetsbaarheden te misbruiken voor eigen gewin, melden ze het incident zodat de eigenaar van het systeem de beveiliging kan verbeteren. Soms gaat dat gepaard met een financiële beloning (‘bug bounty’).

Tot voor kort was het verboden om proactief (zonder voorafgaande toestemming) aan ethisch hacken te doen, zelfs als het enkel onder de noemer van goede bedoelingen was. Door de inwerkingtreding van de Belgische Klokkenluiderswet is het niet langer nodig om voorafgaandelijke toestemming van een onderneming te vragen. De ethische hackers krijgen echter geen carte blanche. Er moeten verschillende (strikte) voorwaarden in acht worden genomen:

  • Het doel moet beperkt zijn tot het aantonen van een zwakheid in het informaticasysteem dat kan worden uitgebuit door een cyberdreiging;
  • De ethische hacker moeten zonder bedrieglijk opzet of het oogmerk om te schaden hebben gehandeld;
  • Van zodra de ethische hacker een kwetsbaarheid ontdekt, moet hij/zij dat zo snel mogelijk melden aan het Centrum voor Cybersecurity (CCB), volgens een specifieke procedure. Tegelijk moet de ethische hacker de kwetsbaarheid zo snel mogelijk (en uiterlijk op het moment van de melding aan het CCB) melden aan de organisatie die instaat voor het informaticasysteem;
  • De ethische hacker mag tot slot niet verder gaan dan wat noodzakelijk en evenredig is om de zwakheid bloot te leggen;

Wanneer men aan bovenstaande voorwaarden voldoet, is (ethisch) hacken gerechtvaardigd en kan men hiervoor noch strafrechtelijk, noch burgerrechtelijk aansprakelijk worden gesteld. Als ethisch hacker dient men echter wel waakzaam te blijven en niet verder te gaan dan wat strikt noodzakelijk is voor het ontdekken en melden van de kwetsbaarheden van het systeem.

We geven tot slot nog mee dat de bescherming enkel in België geldt. Wanneer het een kwetsbaarheid betreft van systemen die zicht niet in België bevinden, kan de toegang beheerst worden door buitenlands recht, dat mogelijks niet in eenzelfde mate van bescherming voorziet.

Bron: KPMG Law

» Bekijk alle artikels: IT & IP