Elk computersysteem of netwerk kan kwetsbaarheden bevatten. Deze kwetsbaarheden kunnen ontdekt worden door zowel mensen met goede bedoelingen maar ook door mensen met slechte bedoelingen. Los van het bestaan van een gecoördineerd beleid inzake bekendmaking van kwetsbaarheden (CVDP) of van een bug bounty programma, worden mensen met goede bedoelingen vaak belemmerd om deze kwetsbaarheden op te sporen en te melden door angst om zelf aangeklaagd te worden.

In het kader van het Belgische nationale cyberbeveiligingsstrategie is er een nieuw wettelijk kader voorzien om deze situatie aan te pakken.

Dit kader staat nu elke natuurlijke of rechtspersoon toe om, zonder frauduleuze bedoelingen of de intentie om schade te berokkenen, bestaande kwetsbaarheden in netwerken en informatiesystemen in België op te sporen en te melden, mits bepaalde voorwaarden strikt worden nageleefd.

Een van die voorwaarden is dat de ontdekte kwetsbaarheden zo snel mogelijk en volgens de daartoe voorziene procedure aan het Centrum voor Cybersecurity België (CCB) worden gemeld.

A. Context

Het Centrum voor Cybersecurity België (hierna het "CCB") kan, in zijn hoedanigheid van nationaal CSIRT, meldingen van natuurlijke of rechtspersonen over mogelijke kwetsbaarheden ontvangen (zie de artikelen 62/1 en 62/2 van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.

Een kwetsbaarheid wordt gedefinieerd als "een zwakheid, vatbaarheid of gebrek van een netwerk- en informatiesysteem die of dat kan worden uitgebuit door een cyberdreiging".

Indien een organisatie die verantwoordelijk is voor een netwerk- en informatiesysteem (hierna "verantwoordelijke organisatie") over een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (hierna "CVDP") beschikt, moeten personen die binnen het toepassingsgebied van die CVDP een kwetsbaarheid ontdekken, rechtstreeks en uitsluitend contact opnemen met de verantwoordelijke organisatie. In geval van moeilijkheden of indien de verantwoordelijke organisatie niet binnen een redelijke termijn reageert, kunnen de deelnemers aan een CVDP contact opnemen met het CCB (standaardcoördinator). Indien de kwetsbaarheid ook betrekking heeft op andere organisaties die geen CVDP hebben, kan deze toch aan het CCB worden gemeld.

De hieronder beschreven procedure voor het melden van een informaticakwetsbaarheid staat los van de wettelijke regels die gelden voor personen die inbreuken op het Europees of nationaal recht melden op basis van informatie die zij beroepshalve hebben verkregen. Zo moet de melding van een schending van de wettelijke regels inzake de bescherming van de persoonlijke levenssfeer en van persoonsgegevens of inzake de beveiliging van netwerk- en informatiesystemen voldoen aan de daarvoor voorziene wettelijke regels (zie met name de wet van 28 november 2022 betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector en de wet van 8 december 2022 betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie), eventueel in combinatie met de regels van deze procedure.

B. Welke verplichtingen hebt u in het kader van het opsporen en melden van een kwetsbaarheid?

1° U moet zich strikt beperken tot feiten die noodzakelijk zijn voor de melding van een kwetsbaarheid. U mag dus niet verder gaan dan wat noodzakelijk en evenredig is om het bestaan van een kwetsbaarheid na te gaan (zie verder punt C "Evenredigheid en noodzaak van de acties").

2° U moet handelen zonder bedrieglijk opzet of het oogmerk om te schaden.

U mag uw onderzoek niet gebruiken met bedrieglijk opzet of het oogmerk om te schaden. U mag de verantwoordelijke organisatie of derden bijvoorbeeld niet trachten te laten betalen voor de ontdekte informatie (tenzij, uiteraard, vooraf uitdrukkelijk een beloning of vergoeding is voorzien in het kader van een pentest- of bug bounty-overeenkomst, enz.).

Maak uzelf indien mogelijk tijdens uw onderzoek bekend bij de verantwoordelijke organisatie om uw goede bedoelingen te tonen, door bijvoorbeeld een header of een andere identificeerbare parameter te gebruiken.

3° U moet de organisatie die verantwoordelijk is voor het systeem, het proces of de controle zo snel mogelijk na de ontdekking van de mogelijke kwetsbaarheid (en uiterlijk op het ogenblik van de melding aan het nationale CSIRT) inlichten over de kwetsbaarheid.

Indien meerdere personen aan het onderzoek hebben deelgenomen, kan de melding gebeuren op naam van verschillende personen, die dan samen de verantwoordelijkheid op zich nemen. Gemakshalve kunnen verschillende kwetsbaarheden die betrekking hebben op dezelfde verantwoordelijke organisatie ook in één melding worden meegedeeld. Voor elke betrokken organisatie moet echter telkens een aparte melding gebeuren.

Om aan te tonen dat u de kwetsbaarheid zo snel mogelijk hebt gemeld, is het raadzaam dat u bewijzen bijhoudt van de ondernomen acties (logging) met betrekking tot het netwerk- en informatiesysteem in kwestie en deze informatie op het ogenblik van de melding meedeelt aan het CCB.

4° U moet u de ontdekte kwetsbaarheid zo snel mogelijk schriftelijk en volgens de hierna vermelde modaliteiten (punt D) aan het CCB melden (indien er geen CVDP is).

Om aan te tonen dat u de kwetsbaarheid zo snel mogelijk hebt gemeld, is het raadzaam dat u bewijzen bijhoudt van de ondernomen acties (logging) met betrekking tot het systeem, het proces of de controle in kwestie en deze informatie op het ogenblik van de melding meedeelt aan het CCB. Tevens strekt het tot aanbeveling de melding te doen voor enig actief verzet (bv. door poorten dicht te zetten) door de verantwoordelijke organisatie en/of iedere daad van strafrechtelijk onderzoek, teneinde de tijdigheid van uw melding te onderlijnen.

5° U mag geen informatie over de ontdekte kwetsbaarheid openbaar maken zonder toestemming van het nationale CSIRT (CCB).

C. Evenredigheid en noodzaak van de acties

Uw acties moeten strikt beperkt blijven tot feiten die noodzakelijk zijn om een kwetsbaarheid in een netwerk- en informatiesysteem te kunnen opsporen en melden.

Als dergelijke feiten kunnen worden beschouwd:

• het ongeoorloofd binnendringen in een informaticasysteem of de poging daartoe (artikel 550 bis, § 1 en 4, van het Strafwetboek);
• het overschrijden van een toegangsbevoegdheid tot een informaticasysteem of de poging daartoe (550 bis, § 2 en 4, van het Strafwetboek);
• het overnemen of kopiëren van informaticagegevens (artikel 550 bis, § 3, van het Strafwetboek);
• het ontwikkelen of bezitten van hacking tools (artikel 550 bis, § 5, van het Strafwetboek);
• het bijhouden, onthullen, gebruiken of verspreiden van informatie die door ongeoorloofde binnendringing is verkregen - bijvoorbeeld informatie die beschikbaar is op het internet (550 bis, § 7, van het Strafwetboek);
• het invoeren of wijzigen van gegevens in een informaticasysteem (550 ter van het Strafwetboek);
• het onderscheppen van communicatie of de poging daartoe (artikel 314 bis van het Strafwetboek en/of artikel 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie);
• de schending van het beroepsgeheim of van een contractuele geheimhoudingsplicht.

Uw acties en onderzoeksmethoden moeten noodzakelijk blijven voor het doel om het bestaan van een kwetsbaarheid na te gaan teneinde de beveiliging van het systeem, het proces of de controle in kwestie te verbeteren, en moeten in verhouding blijven tot dit doel. De gebruikte technieken moeten dus strikt noodzakelijk en evenredig zijn om een beveiligingsprobleem aan te tonen.

Indien het beveiligingsprobleem op kleine schaal is aangetoond, mag niet verder in uw onderzoek worden gegaan. Het is niet de bedoeling de kwetsbaarheid te gebruiken om na te gaan hoe ver men in een systeem, proces of controle kan binnendringen. Het is evenmin verantwoord om de beschikbaarheid van de door de betrokken apparatuur verleende diensten te verstoren.

Indien dit niet strikt noodzakelijk is om het bestaan van een kwetsbaarheid aan te tonen, mogen geen gegevens uit het systeem, het proces of de controle worden gebruikt of bewaard. Ook moeten alle verzamelde gegevens binnen een redelijke termijn na de melding worden verwijderd. Indien het noodzakelijk is om deze gegevens nog enige tijd te bewaren of indien er een gerechtelijke procedure loopt, moet u ervoor zorgen dat deze gegevens in deze periode veilig worden bewaard.

Als onevenredige en/of niet-noodzakelijke acties kunnen worden beschouwd: 

• de installatie van malware: virussen, wormen, Trojaanse paarden, enz.;
• Distributed Denial Of Service (DDOS)-aanvallen;
• social engineering;
• phishing;
• spamming;
• diefstal van paswoorden of brute force-aanvallen;
• het verwijderen van gegevens uit het informaticasysteem;
• het toebrengen van voorzienbare schade aan het bezochte systeem of aan de gegevens ervan;
• alle andere dan de onder C genoemde misdrijven (bv. inbraak, diefstal, agressie, enz.).

Ten slotte moet u er ook rekening mee houden dat, indien uw kwetsbaarheidsonderzoek wordt uitgevoerd op activa of op netwerk- en informatiesystemen die zich geheel of gedeeltelijk buiten het Belgische grondgebied bevinden, deze meldingsprocedure u alleen in België beschermt en niet in de andere betrokken landen.

D. Hoe meldt u een beveiligingskwetsbaarheid aan het nationale CSIRT (CCB)?

Gelieve de ontdekte informatie uitsluitend naar het volgende e-mailadres te sturen: vulnerabilityreport[at]ccb.belgium.be, en/of het volgende formulier in te vullen.

Het ingevulde formulier moet ons worden bezorgd in Word- of PDF-formaat en met een paswoord of zip-bestand beveiligd zijn (om een eventuele blokkering door onze antivirusfilters te vermijden).

Het bestand mag in totaal niet groter zijn dan 7 MB.