Bekendmaking van kwetsbaarheden aan het CCB
Elk computersysteem of netwerk kan kwetsbaarheden bevatten. Deze kwetsbaarheden kunnen ontdekt worden door zowel mensen met goede bedoelingen maar ook door mensen met slechte bedoelingen. Los van het bestaan van een gecoördineerd beleid inzake bekendmaking van kwetsbaarheden (CVDP) of van een bug bounty programma, worden mensen met goede bedoelingen vaak belemmerd om deze kwetsbaarheden op te sporen en te melden door angst om zelf aangeklaagd te worden.
In het kader van het Belgische nationale cyberbeveiligingsstrategie is er een nieuw wettelijk kader voorzien om deze situatie aan te pakken.
Dit kader staat nu elke natuurlijke of rechtspersoon toe om, zonder frauduleuze bedoelingen of de intentie om schade te berokkenen, bestaande kwetsbaarheden in netwerken en informatiesystemen in België op te sporen en te melden, mits bepaalde voorwaarden strikt worden nageleefd.
Een van die voorwaarden is dat de ontdekte kwetsbaarheden zo snel mogelijk en volgens de daartoe voorziene procedure aan het Centrum voor Cybersecurity België (CCB) worden gemeld.
A. Context
Het Centrum voor Cybersecurity België (hierna het "CCB") kan, in zijn hoedanigheid van nationaal CSIRT, meldingen van natuurlijke of rechtspersonen over mogelijke kwetsbaarheden ontvangen (zie de artikelen 62/1 en 62/2 van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.
Een kwetsbaarheid wordt gedefinieerd als "een zwakheid, vatbaarheid of gebrek van een netwerk- en informatiesysteem die of dat kan worden uitgebuit door een cyberdreiging".
Indien een organisatie die verantwoordelijk is voor een netwerk- en informatiesysteem (hierna "verantwoordelijke organisatie") over een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (hierna "CVDP") beschikt, moeten personen die binnen het toepassingsgebied van die CVDP een kwetsbaarheid ontdekken, rechtstreeks en uitsluitend contact opnemen met de verantwoordelijke organisatie. In geval van moeilijkheden of indien de verantwoordelijke organisatie niet binnen een redelijke termijn reageert, kunnen de deelnemers aan een CVDP contact opnemen met het CCB (standaardcoördinator). Indien de kwetsbaarheid ook betrekking heeft op andere organisaties die geen CVDP hebben, kan deze toch aan het CCB worden gemeld.
De hieronder beschreven procedure voor het melden van een informaticakwetsbaarheid staat los van de wettelijke regels die gelden voor personen die inbreuken op het Europees of nationaal recht melden op basis van informatie die zij beroepshalve hebben verkregen. Zo moet de melding van een schending van de wettelijke regels inzake de bescherming van de persoonlijke levenssfeer en van persoonsgegevens of inzake de beveiliging van netwerk- en informatiesystemen voldoen aan de daarvoor voorziene wettelijke regels (zie met name de wet van 28 november 2022 betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector en de wet van 8 december 2022 betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie), eventueel in combinatie met de regels van deze procedure.
B. Welke verplichtingen hebt u in het kader van het opsporen en melden van een kwetsbaarheid?
1° U moet zich strikt beperken tot feiten die noodzakelijk zijn voor de melding van een kwetsbaarheid. U mag dus niet verder gaan dan wat noodzakelijk en evenredig is om het bestaan van een kwetsbaarheid na te gaan (zie verder punt C "Evenredigheid en noodzaak van de acties").
2° U moet handelen zonder bedrieglijk opzet of het oogmerk om te schaden.
U mag uw onderzoek niet gebruiken met bedrieglijk opzet of het oogmerk om te schaden. U mag de verantwoordelijke organisatie of derden bijvoorbeeld niet trachten te laten betalen voor de ontdekte informatie (tenzij, uiteraard, vooraf uitdrukkelijk een beloning of vergoeding is voorzien in het kader van een pentest- of bug bounty-overeenkomst, enz.).
Maak uzelf indien mogelijk tijdens uw onderzoek bekend bij de verantwoordelijke organisatie om uw goede bedoelingen te tonen, door bijvoorbeeld een header of een andere identificeerbare parameter te gebruiken.
3° U moet de organisatie die verantwoordelijk is voor het systeem, het proces of de controle zo snel mogelijk na de ontdekking van de mogelijke kwetsbaarheid (en uiterlijk op het ogenblik van de melding aan het nationale CSIRT) inlichten over de kwetsbaarheid.
Indien meerdere personen aan het onderzoek hebben deelgenomen, kan de melding gebeuren op naam van verschillende personen, die dan samen de verantwoordelijkheid op zich nemen. Gemakshalve kunnen verschillende kwetsbaarheden die betrekking hebben op dezelfde verantwoordelijke organisatie ook in één melding worden meegedeeld. Voor elke betrokken organisatie moet echter telkens een aparte melding gebeuren.
Om aan te tonen dat u de kwetsbaarheid zo snel mogelijk hebt gemeld, is het raadzaam dat u bewijzen bijhoudt van de ondernomen acties (logging) met betrekking tot het netwerk- en informatiesysteem in kwestie en deze informatie op het ogenblik van de melding meedeelt aan het CCB.
4° U moet u de ontdekte kwetsbaarheid zo snel mogelijk schriftelijk en volgens de hierna vermelde modaliteiten (punt D) aan het CCB melden (indien er geen CVDP is).
Om aan te tonen dat u de kwetsbaarheid zo snel mogelijk hebt gemeld, is het raadzaam dat u bewijzen bijhoudt van de ondernomen acties (logging) met betrekking tot het systeem, het proces of de controle in kwestie en deze informatie op het ogenblik van de melding meedeelt aan het CCB. Tevens strekt het tot aanbeveling de melding te doen voor enig actief verzet (bv. door poorten dicht te zetten) door de verantwoordelijke organisatie en/of iedere daad van strafrechtelijk onderzoek, teneinde de tijdigheid van uw melding te onderlijnen.
5° U mag geen informatie over de ontdekte kwetsbaarheid openbaar maken zonder toestemming van het nationale CSIRT (CCB).
C. Evenredigheid en noodzaak van de acties
Uw acties moeten strikt beperkt blijven tot feiten die noodzakelijk zijn om een kwetsbaarheid in een netwerk- en informatiesysteem te kunnen opsporen en melden.
Als dergelijke feiten kunnen worden beschouwd:
- het ongeoorloofd binnendringen in een informaticasysteem of de poging daartoe (artikel 550 bis, § 1 en 4, van het Strafwetboek);
- het overschrijden van een toegangsbevoegdheid tot een informaticasysteem of de poging daartoe (550 bis, § 2 en 4, van het Strafwetboek);
- het overnemen of kopiëren van informaticagegevens (artikel 550 bis, § 3, van het Strafwetboek);
- het ontwikkelen of bezitten van hacking tools (artikel 550 bis, § 5, van het Strafwetboek);
- het bijhouden, onthullen, gebruiken of verspreiden van informatie die door ongeoorloofde binnendringing is verkregen - bijvoorbeeld informatie die beschikbaar is op het internet (550 bis, § 7, van het Strafwetboek);
- het invoeren of wijzigen van gegevens in een informaticasysteem (550 ter van het Strafwetboek);
- het onderscheppen van communicatie of de poging daartoe (artikel 314 bis van het Strafwetboek en/of artikel 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie);
- de schending van het beroepsgeheim of van een contractuele geheimhoudingsplicht.
Uw acties en onderzoeksmethoden moeten noodzakelijk blijven voor het doel om het bestaan van een kwetsbaarheid na te gaan teneinde de beveiliging van het systeem, het proces of de controle in kwestie te verbeteren, en moeten in verhouding blijven tot dit doel. De gebruikte technieken moeten dus strikt noodzakelijk en evenredig zijn om een beveiligingsprobleem aan te tonen.
Indien het beveiligingsprobleem op kleine schaal is aangetoond, mag niet verder in uw onderzoek worden gegaan. Het is niet de bedoeling de kwetsbaarheid te gebruiken om na te gaan hoe ver men in een systeem, proces of controle kan binnendringen. Het is evenmin verantwoord om de beschikbaarheid van de door de betrokken apparatuur verleende diensten te verstoren.
Indien dit niet strikt noodzakelijk is om het bestaan van een kwetsbaarheid aan te tonen, mogen geen gegevens uit het systeem, het proces of de controle worden gebruikt of bewaard. Ook moeten alle verzamelde gegevens binnen een redelijke termijn na de melding worden verwijderd. Indien het noodzakelijk is om deze gegevens nog enige tijd te bewaren of indien er een gerechtelijke procedure loopt, moet u ervoor zorgen dat deze gegevens in deze periode veilig worden bewaard.
Als onevenredige en/of niet-noodzakelijke acties kunnen worden beschouwd:
- de installatie van malware: virussen, wormen, Trojaanse paarden, enz.;
- Distributed Denial Of Service (DDOS)-aanvallen;
- social engineering;
- phishing;
- spamming;
- diefstal van paswoorden of brute force-aanvallen;
- het verwijderen van gegevens uit het informaticasysteem;
- het toebrengen van voorzienbare schade aan het bezochte systeem of aan de gegevens ervan;
- alle andere dan de onder C genoemde misdrijven (bv. inbraak, diefstal, agressie, enz.).
Ten slotte moet u er ook rekening mee houden dat, indien uw kwetsbaarheidsonderzoek wordt uitgevoerd op activa of op netwerk- en informatiesystemen die zich geheel of gedeeltelijk buiten het Belgische grondgebied bevinden, deze meldingsprocedure u alleen in België beschermt en niet in de andere betrokken landen.
D. Hoe meldt u een beveiligingskwetsbaarheid aan het nationale CSIRT (CCB)?
Gelieve de ontdekte informatie uitsluitend naar het volgende e-mailadres te sturen: vulnerabilityreport[at]ccb.belgium.be, en/of het volgende formulier in te vullen.
Het ingevulde formulier moet ons worden bezorgd in Word- of PDF-formaat en met een paswoord of zip-bestand beveiligd zijn (om een eventuele blokkering door onze antivirusfilters te vermijden).
Het bestand mag in totaal niet groter zijn dan 7 MB.
Wij verzoeken u voor zover mogelijk de volgende beveiligde communicatiemiddelen te gebruiken:
PGP Key ID: 0x31A9EA55
Type: RSA-4096 Key
Fingerprint: 8E98 3C10 BC8D 23BA EE1B 9CB9 670C A658 31A9 EA55
Beveilig het formulier met een paswoord dat u ons per e-mail meedeelt.
Bezorg ons voldoende informatie zodat wij de kwetsbaarheid kunnen begrijpen en deze zo snel mogelijk kunnen verhelpen.
E. Gevolgen van de melding
Voor zover u alle onder B genoemde voorwaarden strikt naleeft, kan een rechtvaardigingsgrond op limitatieve wijze worden aanvaard voor de misdrijven bedoeld in de artikelen 314 bis, 550 bis en 550 ter van het Strafwetboek en in artikel 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie.
Indien u informatie meldt over een mogelijke kwetsbaarheid waarvan u in het kader van uw beroep kennis hebt gekregen, wordt u niet geacht uw beroepsgeheim te hebben geschonden en kan u op generlei wijze aansprakelijkheid worden gesteld voor de overdracht van informatie die noodzakelijk was om een mogelijke kwetsbaarheid aan het CCB te melden.
Handelingen of nalatigheden die niet noodzakelijk zijn voor de uitvoering van de meldingsprocedure en die niet aan alle onder B genoemde voorwaarden voldoen, blijven strafrechtelijk en burgerrechtelijk strafbaar.
Het is belangrijk ermee rekening te houden dat deze wettelijke bescherming beperkt is tot de toepassing van het Belgische recht en u geen bescherming biedt voor mogelijke inbreuken die krachtens het recht van andere landen worden gepleegd.
Ten slotte verbindt het CCB zich ertoe, indien u hierom verzoekt en indien de voorwaarden onder B vervuld zijn, uw identiteit geheim te houden.
F. Procedure
Het CCB verbindt zich ertoe om, wanneer het een melding ontvangt, de melder een ontvangstbevestiging te sturen.
Indien de persoon geen ontvangstbevestiging krijgt binnen een redelijke termijn of indien hij/zij specifieke vragen heeft, kan hij/zij in voorkomend geval een e-mail sturen naar het adres vulnerabilitydisclosure[at]ccb.belgium.be.
De melder en het CCB verbinden zich ertoe alles in het werk te stellen om een permanente en doeltreffende communicatie te garanderen teneinde de kwetsbaarheid te identificeren en er een oplossing voor te vinden.
Het CCB zal in samenwerking met de bevoegde diensten van het Openbaar Ministerie nagaan of de onder B en C genoemde voorwaarden vervuld zijn.
G. Persoonsgegevens
Tijdens uw onderzoek en melding van een kwetsbaarheid kunt u in contact komen met persoonsgegevens.
De verwerking van persoonsgegevens heeft een ruime betekenis en omvat met name het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van de loutere wil tot identificatie van de gegevensverwerker, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online-identificator, IP-adres of nog, locatiegegevens).
Zorg er in dat geval voor dat u als verwerkingsverantwoordelijke voldoet aan uw verplichtingen op het vlak van de bescherming van persoonsgegevens (AVG).
Met inachtneming van de beginselen van noodzakelijkheid en evenredigheid moet u de eventuele verwerking van dergelijke gegevens tot een strikt minimum beperken en mag u deze gegevens niet gebruiken voor andere doeleinden dan het aantonen van het bestaan van een kwetsbaarheid, het aantonen van de echtheid van uw acties en het meedelen van de betrokken informatie aan de verantwoordelijke organisatie en het CCB. Indien het bestaan van een kwetsbaarheid aan de hand van enkele persoonsgegevens kan worden aangetoond, is het niet nodig om alle toegankelijke gegevens te verwerken of op te slaan.
U moet er met name op toezien dat de eventueel door u verwerkte gegevens worden opgeslagen met waarborging van een beveiligingsniveau dat is afgestemd op de risico's (bij voorkeur versleuteld en geanonimiseerd) en dat deze gegevens onmiddellijk worden verwijderd na afloop van de verwerking (tot het einde van de meldingsprocedure of, eventueel, in geval van een geschil of gerechtelijke procedure, tot het einde van de procedure).
U moet ook de verantwoordelijke organisatie en de Gegevensbeschermingsautoriteit (GBA) zo snel mogelijk en uiterlijk 72 uur nadat u er kennis van hebt gekregen, informeren over het eventuele verlies van deze gegevens dat een risico kan vormen voor de rechten en vrijheden van de betrokken natuurlijke personen (zie de uitleg en de vereiste procedure op de website van de GBA.