Ethisch hacken

Een ethisch hacker is een computerspecialist die zich, uit idealistische motieven, zonder toestemming toegang verschaft tot beveiligingssystemen en netwerken. Ethische hackers willen zo fouten opsporen, om ze vervolgens te melden aan de betreffende, 'gehackte' bedrijven of instanties, als bijdrage in de strijd tegen cybercriminaliteit. De Engelse term voor ethisch hacken is software/security vulnerability disclosure.

Doel bewerken

Op het internet bevinden zich veel gegevens van particulieren, bedrijven en instellingen. Voor sommigen zijn persoonsgegevens en data big business. Deze hackers proberen aan informatie te komen door middel van computervredebreuk of hacking, om de verkregen gegevens en data vervolgens door te verkopen. Daarnaast kunnen zij het computersyteem van bedrijven aanvallen, gegevens misbruiken, of infrastructurele voorzieningen platleggen. Om dit te voorkomen zijn er ethische hackers, die een steentje bijdragen in deze cyberoorlog, door lekken op te sporen in beveiligingssystemen. Door opgespoorde lekken te melden, helpen ethische hackers bedrijven of instanties om zich beter te wapenen tegen aanvallen door kwaadwillende hackers. Intigriti is een internationaal cybersecurity-platform dat ethische hackers samenbrengt met bedrijven.

Taboe? bewerken

Internationale bedrijven als Facebook en Google werken samen met ethische hackers, om hacks of lekken te vinden in hun netwerken of systemen. Zo geeft Google tot 150.000 euro voor het vinden van een bepaald lek. In België daarentegen lopen ethisch hackers het risico om opgepakt te worden. Vanwege dit risico durven veel Belgische bedrijven niet met hackers samen te werken. Andersom kan een hacker ervan afzien om een gevonden lek bij een Belgisch bedrijf te melden, omdat het betreffende bedrijf of de bepaalde instantie hem mogelijk een proces aandoet.

Wetgeving in België bewerken

Sinds 2023 is ethisch hacken toegelaten onder de volgende voorwaarden:^[1]

handelen zonder bedrieglijk opzet of oogmerk om te schaden
de mogelijke kwetsbaarheid zo snel mogelijk melden aan de gehackte organisatie, uiterlijk op het ogenblik van de melding aan het Centrum voor Cybersecurity België (CCB)
niet verder gaan dan nodig en evenredig om het bestaan van een kwetsbaarheid na te gaan
afzien van openbaarmaking, tenzij met toestemming van het CCB

Het vragen van een beloning of vergoeding aan de gehackte organisatie valt normaal onder het verboden bedrieglijk opzet, tenzij de organisatie zelf een bug bounty programma of iets dergelijks opzet.^[2] Ook phishing, spamming, brute force of DDoS-aanvallen, het verwijderen van gegevens en het installeren van malware blijven in alle omstandigheden verboden.

In 2020 publiceerde het CCB een gids, die ethisch hacken bij organisaties die daar open voor stonden in goede banen probeerde te leiden (Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden). Wanneer het hacken gebeurde met medeweten van de rechthebbenden, was er naar alle waarschijnlijkheid geen inbreuk op de wet, omdat er geen moreel bestanddeel (bedrieglijk opzet) aanwezig was.

Evenementen bewerken

Ethische hackers moeten hun vaardigheden blijven testen, om niet achter te lopen op technologische ontwikkelingen. Hiervoor worden ethische-hackevenementen georganiseerd. Tijdens zo'n evenement kunnen hackers voor de gelegenheid opgebouwde computersystemen en dergelijke kraken. De ethisch hacker bevindt zich dus in een veilige omgeving, men kan hem geen proces aandoen voor het kraken van deze systemen. Daarnaast kunnen de hackers ook veel bijleren van elkaar.

Een belangrijke organisatie in Duitsland van ethische hackers is de Chaos Computer Club. Deze organiseert jaarlijks in de Leipziger Messe het Chaos Communication Congress, en iedere 4 jaar^[3] in augustus in de omgeving van Berlijn het Chaos Communication Camp, of afgekort Camp. De club geeft een digitaal tijdschrift uit met de naam Datenschleuder.

Externe link bewerken

Reportage over ethisch hacken

Bronnen

Justaert, M. (2016, 8 januari). Regering zoekt wettelijk kader voor ‘ethisch hacken’. De standaard.
Bedaux, S. (2016). Beroep met toekomst: ethische hacker. Knack Weekend, 36, 56-59.
De Redactie.be 16 november 2014. Koppen: Ethisch hacken. Videobestand, Geraadpleegd op 28 november 2016
Wet inzake informaticacriminaliteit. (2000, 28 november). Geraadpleegd op 24 november 2016
Van Leemputten, P. (2016, 21 november). Ethisch hacken in België: Illegaal, maar het tij keert. Knack.

↑ Artikelen 62/1 en 62/2 van de Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, ingevoegd door de Wet van 28 november 2022. Gearchiveerd op 26 april 2023.
↑ Ethisch hacken voortaan wettelijk toegelaten in België, Data News, 15 februari 2023. Gearchiveerd op 22 februari 2023.
↑ laatste keer: 21-25/8/2019.

[1] Artikelen 62/1 en 62/2 van de Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, ingevoegd door de Wet van 28 november 2022. Gearchiveerd op 26 april 2023.

[2] Ethisch hacken voortaan wettelijk toegelaten in België, Data News, 15 februari 2023. Gearchiveerd op 22 februari 2023.

[3] tste keer: 21-25/8/2019.

[1]

[2]

[3]