Hoogdag voor de ethische hackers, want vanaf vandaag gaat een wet in die hen een pak meer vrijheid geeft. Dat meldde de VRT onlangs. Maar met ook een pak restricties: melden bij de verantwoordelijke binnen 72 uur, geen geld of ander gewin, en iets waar den Floor ambetant van wordt: een geheimhoudingsplicht voor de ethisch hacker. Hoe zit dit juridisch?
Sinds vorig jaar november geldt in België een kaderwet voor de beveiliging van netwerk- en informatiesystemen, waarbij het Centrum voor Cybersecurity België (CCB) de coördinerende instantie is. Eén van hun taken (art. 62 van die wet) is het nemen van maatregelen om te reageren op incidenten, problemen op te sporen et cetera. Die bevoegdheid is ingezet om een beleidsmaatregel te nemen (zouden wij zeggen) over de bekendmaking van kwetsbaarheden aan het CCB.
Het beleid komt neer op een aantal bekende zaken:
- Niet verder gaan dan noodzakelijk voor het aantonen van het probleem.
- Handelen zonder bedrieglijk opzet of het oogmerk om te schaden. Dat betekent enerzijds jezelf identificeerbaar maken tijdens de hack en anderzijds geen geld vragen achteraf voor de geleverde ‘dienst’.
- Het incident zo snel mogelijk melden bij de organisatie. Op diverse plekken lees ik 72 uur, maar dat gaat over incidenten waarbij je persoonsgegevens ontdekt (datalekken), want dat is de AVG deadline. En het CCB ziet dus de ethisch hacker als verwerkingsverantwoordelijke daarvoor, uiteraard naast de ‘echte’ verantwoordelijke. Dat gaat mij wat snel, ik zou dat alleen zo zien als je daadwerkelijk gegevens te pakken hebt gekregen.
- Het incident ook zo snel mogelijk melden bij het CCB, tenzij de organisatie een duidelijk responsible disclosure beleid heeft (want daarin staat dan al een meldingsregeling door de organisatie).
- Geen informatie openbaar maken zonder toestemming van het CCB.
Als je je aan deze regels houdt, dan geldt een “rechtvaardigingsgrond op limitatieve wijze” in de zin van de strafwet, oftewel dan kun je niet worden vervolgd. Ik zie niet meteen hoe deze regeling het Belgische OM tegen zou houden, maar omdat het beleid vanuit de overheid komt, zou dat in principe genoeg moeten zijn.
In Nederland is de constructie dat bedrijven zelf een responsible disclosure beleid opstellen, en dat het OM in principe niet vervolgt als een ethisch hacker die regels volgt. De bedoeling van zo’n beleid is dat er enige ruimte is om te publiceren, dit hele ding heet immers responsible disclosure en is bedoeld om druk te creëren dat dingen gerepareerd worden. Een veelgebruikte termijn daarbij is 60 of 90 dagen na melding (hoewel de modeltekst van d’n Floor geen deadline noemt).
Natuurlijk kun je als CCB zeggen, niets aan de hand want zodra de situatie veilig is dan geven wij uiteraard toestemming. Maar een afhankelijkheid van een welwillende instantie is niet hetzelfde als een wettelijk recht om iets te mogen doen. Dus dat is wel een vervelende beperking.
Arnoud