Even verduidelijken: Wat is ethisch hacken?
Ethisch hacken is het testen van veiligheidssystemen en netwerken van een bedrijf. De hackers breken in op die systemen om fouten en lekken te ontdekken en op te lossen. Zo wordt gestreden tegen cybercriminaliteit.
Spelregels voor ethisch hacken
De nieuwe wetgeving maakt ‘ethisch hacken’ in ons land legaal. Er zijn wel een aantal spelregels aan verbonden, opgenomen door het CCB.(= Centre for Cyber Security Belgium)
- Zo moeten hackers de kwetsbaarheid zo snel mogelijk melden (binnen 72 uur) bij het bedrijf in kwestie. Ook het Centrum voor Cybersecurity moet (schriftelijk) een melding ontvangen. Hackers mogen ook niet verder gaan dan wat noodzakelijk is om de kwetsbaarheid te ontdekken. Ze mogen dus niet gaan rotzooien op de systemen van een bedrijf, maar enkel melden dat ze een lek hebben gevonden, bijvoorbeeld.
- Als jouw bedrijf beschikt over een responsible disclosure policy kan de hacker dit rechtstreeks melden. Heeft jouw bedrijf geen meldingsbeleid op zijn site staan, dan moeten ethische hackers steeds bij het CCB aankloppen. Zij handelen de melding van de kwetsbaarheid dan verder af. Hiervoor werd een formulier voorzien.
- Losgeld vragen of het bedrijf afpersen is ook verboden. Hackers bevinden zich dan weer in de illegaliteit.
- De hackers mogen geen schade toe brengen, om welke reden dan ook. Eenmaal een kwetsbaarheid ontdekt mogen ze NIET verder gaan dan het rapporteren van de open deur.
- De wetgeving geeft ook een verbod om via phising te werk te gaan. Net zoals bruteforce aanvallen om toegang te krijgen tot systemen verboden zijn.
- Hackers moeten ook rekening houden met de GDPR-wetgeving. De privacy van de gebruikers van het bedrijf moet gewaarborgd blijven. Als ze toch toegang krijgen “en dit met hun account”
tot gebruikersdata moet dit account na afloop verwijderd worden. Privacywetgeving!
Mogen de kwetsbaarheden openbaar gepubliceerd worden?
De Belgische overheid heeft beperkingen voor het publiceren over een ontdekte kwetsbaarheid. Het is voor een hacker niet toegelaten om deze kwetsbaarheid zomaar publiek op zijn socials te zetten. Het is wel mogelijk om toestemming te vragen bij CERT. Indien er géén toestemming is van het CERT zijn de hackers illegaal bezig. Een aanklacht is dus steeds nog mogelijk.
Beter voorkomen dan genezen?
Als je het ons vraagt, ja.
Want hou er rekening mee dat nu jouw bedrijf wél in het vizier kan en zal komen. Het hackerslandschap gaat vergroten, neem het van ons aan.
Hoe kunnen wij nu helpen?
Wel, Lipa ICT bestaat bijna 32 jaar, heeft meer dan honderd jaar werkervaring, en is dus juist geplaatst om jullie hierbij te begeleiden.
Concreet gaan we mits een audit of pentest (indien gewenst) de kwetsbaarheden opzoeken, blootleggen, bespreken en vervolgens beveiligen.
Doen we dit samen?
