Elk computersysteem of netwerk kan kwetsbaarheden bevatten. Deze kwetsbaarheden kunnen ontdekt worden door zowel mensen met goede bedoelingen maar ook door mensen met slechte bedoelingen. Los van het bestaan van een gecoördineerd beleid inzake bekendmaking van kwetsbaarheden (CVD) of van een bug bounty programma, worden mensen met goede bedoelingen vaak belemmerd om deze kwetsbaarheden op te sporen en te melden door angst om zelf aangeklaagd te worden.

In het kader van het Belgische nationale cyberbeveiligingsstrategie en NIS2-wet is er een wettelijk kader voorzien om deze situatie aan te pakken.

Dit kader staat elke natuurlijke of rechtspersoon toe om, zonder frauduleuze bedoelingen of de intentie om schade te berokkenen, bestaande kwetsbaarheden in netwerken en informatiesystemen in België op te sporen en te melden, mits bepaalde voorwaarden strikt worden nageleefd (zie gedetailleerde uitleg).

A. Context

Het Centrum voor Cybersecurity België (hierna het "CCB") kan, in zijn hoedanigheid van nationaal CSIRT, meldingen van natuurlijke of rechtspersonen over mogelijke kwetsbaarheden ontvangen (zie de artikelen 22 en 23 van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid hierna de “NIS2-wet”).

Een kwetsbaarheid wordt gedefinieerd in artikel 8, 15° van de NIS2-wet als "een zwakheid, vatbaarheid of gebrek van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit".

Als een organisatie over een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (hierna "CVD") beschikt, moeten onderzoekers die een kwetsbaarheid ontdekken, rechtstreeks contact opnemen met de verantwoordelijke organisatie en de vereisten van haar CVD volgen. In geval van moeilijkheden (bijvoorbeeld de verantwoordelijke organisatie reageert niet binnen een redelijke termijn) , als de potentiële kwetsbaarheid betrekking heeft op een systeem, proces of controle dat niet in het CVD is opgenomen, of als de onderzoeker van mening is dat hij niet kan voldoen aan bepaalde bepalingen van het CVD, kan hij altijd een kwetsbaarheid melden bij het CCB. Als de kwetsbaarheid betrekking heeft op andere organisaties die geen CVD hebben, moet deze ook aan het CCB worden gemeld.

De hieronder beschreven procedure voor het melden van kwetsbaarheden staat los van de wettelijke regels die gelden voor personen die inbreuken op het Europees of nationaal recht melden op basis van informatie die zij beroepshalve hebben verkregen. Zo moet de melding van een schending van de wettelijke regels inzake de bescherming van de persoonlijke levenssfeer en van persoonsgegevens of inzake de beveiliging van netwerk- en informatiesystemen voldoen aan de daarvoor voorziene wettelijke regels (zie met name de wet van 28 november 2022 betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector en de wet van 8 december 2022 betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie), eventueel in combinatie met de regels van deze procedure.

B. Welke verplichtingen hebt u in het kader van het opsporen en melden van een kwetsbaarheid?

1° U mag niet verder gaan dan wat noodzakelijk en evenredig is om het bestaan van een kwetsbaarheid na te gaan en te melden (zie verder punt C "Evenredigheid en noodzaak van de acties").

2° U moet handelen zonder bedrieglijk opzet of het oogmerk om te schaden.

U mag uw onderzoek niet gebruiken met bedrieglijk opzet of het oogmerk om te schaden. U mag de verantwoordelijke organisatie of derden bijvoorbeeld niet trachten te laten betalen voor de ontdekte informatie (tenzij, uiteraard, vooraf uitdrukkelijk een beloning of vergoeding is voorzien in het kader van een pentest- of bug bounty-overeenkomst, enz.). Evenmin mag u, zonder contractuele toestemming van de verantwoordelijke organisatie, de ontdekte kwetsbaarheid gebruiken om er persoonlijk voordeel of een voordeel voor derden uit te halen.

Maak uzelf indien mogelijk tijdens uw onderzoek bekend bij de verantwoordelijke organisatie om uw goede bedoelingen te tonen, door bijvoorbeeld een header of een andere identificeerbare parameter te gebruiken.

3° Onverwijld en uiterlijk binnen 24 uur na de ontdekking van een mogelijke kwetsbaarheid dient u een vereenvoudigde melding van de kwetsbaarheid te richten aan de verantwoordelijke organisatie en aan het CCB, volgens de in punt D beschreven procedure.

De melding van een kwetsbaarheid gebeurt in twee fasen: eerst een vereenvoudigde melding binnen 24 uur, daarna een volledige melding binnen uiterlijk 72 uur. Het doel van de eerste melding is de betrokken organisatie en het CCB te informeren dat er een mogelijke kwetsbaarheid is gevonden. De kennisgeving bevat een identificatie van de betrokken systemen en een vereenvoudigde beschrijving van de potentiële kwetsbaarheid.

4° Onverwijld en ten laatste binnen 72 uur na de ontdekking van een mogelijke kwetsbaarheid dient u een volledige melding van de kwetsbaarheid te richten aan de verantwoordelijke organisatie en aan het CCB, volgens de procedure beschreven in punt D.

De volledige melding bevat een gedetailleerde beschrijving van de kwetsbaarheid, inclusief precieze stappen om de kwetsbaarheid te reproduceren, evenals andere technische informatie zoals configuratiedetails, besturingssysteem, gebruikte tools, enz.

Indien meerdere personen aan het onderzoek hebben deelgenomen, kunnen de vereenvoudigde en volledige meldingen gebeuren op naam van verschillende personen, die dan samen de verantwoordelijkheid op zich nemen. Gemakshalve kunnen verschillende kwetsbaarheden die betrekking hebben op dezelfde verantwoordelijke organisatie ook in één vereenvoudigde of volledige melding worden meegedeeld. Voor elke betrokken organisatie moet echter telkens een aparte melding gebeuren.

Om aan te tonen dat u de kwetsbaarheid zo snel mogelijk hebt gemeld, is het raadzaam dat u bewijzen bijhoudt van de ondernomen acties (logging) met betrekking tot het systeem, het proces of de controle in kwestie en deze informatie op het ogenblik van de melding meedeelt aan het CCB. Binnen de twee deadlines wordt ook aangeraden om de melding te doen voor enig actief verzet (bv. door poorten dicht te zetten) door de verantwoordelijke organisatie en/of iedere daad van strafrechtelijk onderzoek, teneinde de tijdigheid van uw melding te onderlijnen.

5° U mag geen informatie over de ontdekte kwetsbaarheid openbaar maken zonder toestemming van het CCB (waarbij ook rekening wordt gehouden met de positie en context van de betrokken organisatie).

6° met betrekking tot de netwerken en informatiesystemen van sommige organisaties (ADIV, VSSE, OCAD, Ministerie van Defensie, politiediensten, Belgische diplomatieke en consulaire missies buiten de EU, nucleaire inrichtingen van klasse I en NCCN) of rechtelijke overheden (en voor informatie die door of voor hen wordt verwerkt,) moet u, alvorens uw onderzoek aan te vatten, een schriftelijke overeenkomst voor kwetsbaarheidsonderzoek afsluiten met de betrokken dienst.

C. Evenredigheid en noodzaak van de acties

Uw acties moeten strikt beperkt blijven tot feiten die noodzakelijk zijn om een kwetsbaarheid in een netwerk- en informatiesysteem te kunnen opsporen en melden.

Als dergelijke feiten kunnen worden beschouwd:

• het ongeoorloofd binnendringen in een informaticasysteem of de poging daartoe (art. 550bis, § 1 en 4, van het Strafwetboek; art. 524 en 527 van het nieuwe Strafwetboek);
• het overschrijden van een toegangsbevoegdheid tot een informaticasysteem of de poging daartoe (art. 550bis, § 2 en 4, van het Strafwetboek; art. 525 en 527 van het nieuwe Strafwetboek);
• het overnemen of kopiëren van informaticagegevens (art. 550bis, § 3, van het Strafwetboek; art. 526 van het nieuwe Strafwetboek);
• het ontwikkelen of bezitten van hacking tools (art. 550bis, § 5, van het Strafwetboek; art. 528 van het nieuwe Strafwetboek);
• het bijhouden, onthullen, gebruiken of verspreiden van informatie die door ongeoorloofde binnendringing is verkregen - bijvoorbeeld informatie die beschikbaar is op het internet (art. 550bis, § 7, van het Strafwetboek; art. 530 van het nieuwe Strafwetboek);
• het invoeren of wijzigen van gegevens in een informaticasysteem (art. 550ter van het Strafwetboek; art. 531-533 van het nieuwe Strafwetboek);
• het onderscheppen van communicatie of de poging daartoe (art. 314bis van het Strafwetboek; art. 342-346 van het nieuwe Strafwetboek; en/of art. 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie);
• de schending van het beroepsgeheim of van een contractuele geheimhoudingsplicht (art. 458 van het Strafwetboek; art. 352 van het nieuwe Strafwetboek).

Uw acties en onderzoeksmethoden moeten noodzakelijk blijven voor het doel om het bestaan van een kwetsbaarheid na te gaan teneinde de beveiliging van het systeem, het proces of de controle in kwestie te verbeteren, en moeten in verhouding blijven tot dit doel. De gebruikte technieken moeten dus strikt noodzakelijk en evenredig zijn om een beveiligingsprobleem aan te tonen.

Indien het beveiligingsprobleem op kleine schaal is aangetoond, mag niet verder in uw onderzoek worden gegaan. Het is niet de bedoeling de kwetsbaarheid te gebruiken om na te gaan hoe ver men in een systeem, proces of controle kan binnendringen. Het is evenmin verantwoord om de beschikbaarheid van de door de betrokken apparatuur verleende diensten te verstoren.

Indien dit niet strikt noodzakelijk is om het bestaan van een kwetsbaarheid aan te tonen, mogen geen gegevens uit het systeem, het proces of de controle worden gebruikt of bewaard. Ook moeten alle verzamelde gegevens binnen een redelijke termijn na de melding worden verwijderd. Indien het noodzakelijk is om deze gegevens nog enige tijd te bewaren of indien er een gerechtelijke procedure loopt, moet u ervoor zorgen dat deze gegevens in deze periode veilig worden bewaard.

Als onevenredige en/of niet-noodzakelijke acties kunnen worden beschouwd: 

• de installatie van malware: virussen, wormen, Trojaanse paarden, enz.;
• Distributed Denial Of Service (DDOS)-aanvallen;
• social engineering;
• phishing;
• spamming;
• diefstal van paswoorden of brute force-aanvallen;
• het verwijderen van gegevens uit het informaticasysteem;
• het toebrengen van voorzienbare schade aan het bezochte systeem of aan de gegevens ervan;
• alle andere misdrijven van het Strafwetboek die niet in de lijst boven worden genoemd (bv. inbraak, diefstal, agressie, enz.).

Ten slotte moet u er ook rekening mee houden dat, indien uw kwetsbaarheidsonderzoek wordt uitgevoerd op activa of op netwerk- en informatiesystemen die zich geheel of gedeeltelijk buiten het Belgische grondgebied bevinden, deze meldingsprocedure u alleen in België beschermt en niet in de andere betrokken landen.

D. Hoe meldt u een beveiligingskwetsbaarheid aan het nationale CSIRT (CCB)?

Gelieve de ontdekte informatie uitsluitend naar het volgende e-mailadres te sturen: vulnerabilityreport[at]ccb.belgium.be, en/of het volgende formulier in te vullen.

Het ingevulde formulier moet ons worden toegestuurd in Word-, ODT- of PDF-formaat dat met een wachtwoord is beveiligd, of in een zip-bestand dat met een wachtwoord is beveiligd (om een eventuele blokkering door onze antivirusfilters te vermijden).

Het bestand mag in totaal niet groter zijn dan 7 MB.