Regels voor aanvallen op ICT om kwetsbaarheden te vinden

Sommige ethische hackers zoeken naar lekken in de ICT-beveiliging van organisaties en waarschuwen de betreffende organisatie bij het vinden daarvan. Dat lijkt nobel en zinvol, maar het is niet zomaar toegestaan, waarschuwt het Nationaal Cyber Security Center.

Het zoeken naar bugs, lekken of een ander type kwetsbaarheid in het ICT-systeem van iemand anders is niet zomaar toegestaan. Natuurlijk kan het gebeuren dat iemand spontaan een kwetsbaarheid tegenkomt zonder ernaar op zoek te zijn, maar het actief doen van pen-testen op een ICT-systeem van een ander is niet toegestaan, tenzij de eigenaar van het systeem uitdrukkelijk toestemming heeft gegeven. Denk aan een (ethisch) hacker die wordt ingehuurd door een bedrijf om een nieuw ICT-systeem te testen.

Beleid
Wel hebben sommige organisaties en bedrijven een Coordinated Vulnerability Disclosure (CVD) of Responsible Disclosure (RD) beleid. Met dit beleid geeft een organisatie aan dat ze open staan voor informatie over kwetsbaarheden in hun eigen systeem. Het is bedoeld om uitleg te geven aan mensen die graag op eigen initiatief willen bijdragen aan veilige ICT-systemen en daarmee de samenleving.
De organisatie vermeldt in haar CVD of RD beleid over welke ICT-systemen meldingen gedaan kunnen worden, welke onderzoeksmethoden zijn toegestaan om kwetsbaarheden te vinden en hoe de vinder een melding moet doen als deze een kwetsbaarheid heeft gevonden. In het beleid is ook te lezen binnen hoeveel tijd de organisatie het gemelde probleem gaat verhelpen. Dat betekent dat de organisatie dan ook die tijd moet krijgen om een oplossing te ontwerpen en dat de ontdekking voor die tijd niet bekend gemaakt mag worden. Sommige methoden zijn zelden geoorloofd, denk aan een brute force-aanval. Het advies is altijd om niet verder te gaan dan wat redelijk en noodzakelijk is.

Strafbaarheid
Als een ethische hacker zich aan het CVD of RD beleid houdt zal een organisatie in principe geen aangifte doen of andere juridische stappen ondernemen. Mocht een organisatie dit toch doen, dan stellen politie en het openbaar ministerie in principe niet direct een strafrechtelijk onderzoek in, mits de regels uit het CVD of RD beleid van de organisatie zijn gerespecteerd. Het is daarom handig als alle stappen worden bijgehouden in een logbestand.
Als het openbaar ministerie aanwijzingen heeft dat het CVD of RD beleid bewust of onbewust niet is nageleefd, kan er een onderzoek worden ingesteld. Op basis van dit onderzoek kan het openbaar ministerie besluiten om wel of niet tot strafvervolging over te gaan. Het Coordinated Vulnerability Disclosure of Responsible Disclosure beleid is vaak te vinden op de website van een organisatie.

Een kwetsbaarheid melden
Wie een bug, een lek of een ander type kwetsbaarheid in een ICT-systeem van een organisatie vindt, wil dat melden zodat de organisatie het systeem kan herstellen. Ook voor het melden gelden regels.
Voorop staat dat de kwetsbaarheid altijd eerst gemeld wordt bij de eigenaar van het systeem. Dit dient vertrouwelijk te gebeuren om te voorkomen dat anderen ook toegang krijgen tot informatie over de kwetsbaarheid. Daarnaast mag het onthullen van informatie niet gebonden worden aan een (financiële) beloning. Dus ook als er niet wordt betaald, moet de vertrouwelijkheid gerespecteerd worden. Tot slot gaat het eventueel openbaar maken van de kwetsbaarheid altijd alleen in samenspraak met de organisatie zelf.

Kwetsbaarheid raakt meerdere systemen
Raakt een kwetsbaarheid meerdere systemen of is het een vitaal systeem, zoals een drinkwatervoorziening of een elektriciteitsnetwerk, dan kan contact worden opgenomen met het Nationaal Cyber Security Centrum (NCSC).
Sommige organisaties houden de vinder op de hoogte van de voortgang van de melding, andere organisaties laten weinig tot niks horen. Dit betekent niet dat er achter de schermen ook niks gebeurt. Bij twijfel kan het NCSC altijd met de vinder meedenken of namens de vinder contact opnemen met de organisatie.
Het kan voorkomen dat een kwetsbaarheid niet of moeilijk op te lossen is, of dat het oplossen hoge kosten met zich meebrengt. In deze gevallen kan de organisatie besluiten de kwetsbaarheid als geaccepteerd risico te beschouwen en niet te verhelpen. Dit betekent niet dat de melding voor niets is geweest, de organisatie kan het risico nu in ieder geval monitoren. De kwetsbaarheid mag dan wel publiek worden gemaakt, aldus het NCSC.

Gedeeld

Geef een reactie