FAQ betreffende het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (Coordinated vulnerability disclosure policy - CVDP) en bug bounty-programma’s.
In deze FAQ vindt u een overzicht van de begrippen, doelstellingen, juridische vraagstukken en goede praktijken rond de invoering van een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (of Coordinated Vulnerability Disclosure Policy – “CVDP”) in de huidige stand van de Belgische wetgeving – zie de gidsen op de website van het CCB.
We wijzen erop dat de door het CCB opgestelde documenten geenszins de bestaande wettelijke regels wijzigen. Het ongeoorloofd binnendringen in het informaticasysteem van een derde, zelfs met goede bedoelingen, is een strafrechtelijk misdrijf.
De deelnemer aan een CVDP moet alle voorwaarden van het beleid nauwgezet naleven en zich ervan bewust zijn dat hij zich niet kan beroepen op een algemene uitsluiting van aansprakelijkheid wanneer hij deelneemt aan dat beleid.
1. Wat is een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (of “coordinated vulnerability disclosure policy” – CVDP in het Engels)?
Dit is een geheel van regels die vooraf zijn bepaald door een organisatie die verantwoordelijk is voor informatiesystemen waardoor deelnemers (of “ethische hackers”), met goede bedoelingen, mogelijke kwetsbaarheden in haar systemen kunnen opsporen, of haar alle relevante informatie hierover kunnen bezorgen. Deze regels, doorgaans openbaar gemaakt op een website, maken het mogelijk een juridisch kader te bepalen voor de samenwerking tussen de verantwoordelijke organisatie en de beleidsdeelnemers. Deze regels moeten onder meer de vertrouwelijkheid van de uitgewisselde informatie garanderen en een eventuele bekendmaking van de ontdekte kwetsbaarheden op een verantwoorde en gecoördineerde manier omkaderen.
Het begrip “bekendmaking” betekent dus niet noodzakelijk dat de kwetsbaarheid openbaar wordt gemaakt, maar veeleer dat de deelnemer deze meedeelt aan de verantwoordelijke organisatie. De deelnemer is verplicht de kwetsbaarheid mee te delen aan de verantwoordelijke organisatie, maar de openbare bekendmaking ervan (door de deelnemer of de betrokken organisatie) is facultatief in het kader van een CVDP.
Een kwetsbaarheid is een gebrek of een zwakke plek, een ontwerp- of uitvoeringsfout, het ontbreken van updates in het licht van de bestaande technische kennis, die de veiligheid van informatietechnologieën in het gedrang kan brengen. Een kwetsbaarheid kan leiden tot een onverwacht of ongewenst voorval en uitgebuit worden door kwaadwillige derden om de integriteit, authenticiteit, vertrouwelijkheid of beschikbaarheid van een systeem te schenden of om een systeem schade toe te brengen.
2. Wat is een beloningsprogramma voor het opsporen van kwetsbaarheden (of “bug bounty” in het Engels)?
Een beloningsprogramma voor het opsporen van kwetsbaarheden is een geheel van regels die een organisatie heeft bepaald om beloningen toe te kennen aan deelnemers die kwetsbaarheden identificeren in de door haar gebruikte technologieën. Deze beloning kan een geldsom zijn, maar ook een geschenk of een gewone publieke erkenning (rangschikking onder de beste deelnemers, publicatie, conferentie, enz.).
Het betreft een beleidsvorm voor de gecoördineerde bekendmaking van kwetsbaarheden die voorziet in de toekenning van een beloning aan de deelnemer naargelang de hoeveelheid, het belang of de kwaliteit van de overgemaakte informatie.
Deze beleidsvorm is aantrekkelijker voor eventuele deelnemers en leidt vaak tot betere resultaten voor de organisatie. De organisatie kan met name een beroep doen op een bug bounty-platform dat technische en administratieve bijstand biedt voor het beheer van haar beloningsprogramma voor het opsporen van kwetsbaarheden (rol van coördinator).
Bijvoorbeeld: www.intigriti.com (België); www.yeswehack.com of www.yogosha.com (Frankrijk); www.hackerone.com, www.bugcrowd.com (VS).
3. Wat is een coördinator?
Een coördinator is een natuurlijke of rechtspersoon die als tussenpersoon optreedt tussen de deelnemer en de organisatie die verantwoordelijk is voor een informatiesysteem door logistieke, technische en juridische bijstand te bieden of een andere functie te vervullen om de samenwerking te vergemakkelijken.
Als geen coördinator is aangewezen in het kader van het beleid, kan het Centrum voor Cybersecurity België (CCB - vulnerabilityreport@cert.be) die rol vervullen.
4. Wat is een deelnemer aan een CVDP of “ethische hacker”?
Dit is een persoon met goede bedoelingen die, met toestemming van de verantwoordelijke organisatie, wenst bij te dragen aan een betere beveiliging van de informatiesystemen. Hij kan bijvoorbeeld pentests uitvoeren of andere methoden gebruiken om de beveiliging van informatiesystemen na te gaan.
Hij staat lijnrecht tegenover de hacker die zijn vaardigheden gebruikt om met slechte bedoelingen ongeoorloofd binnen te dringen in een systeem. De deelnemer wil de verantwoordelijke van het informatiesysteem of een coördinator op de hoogte brengen van eventueel ontdekte kwetsbaarheden, zodat ze kunnen worden weggewerkt.
5. Is het wettelijk om in België deel te nemen aan een CVDP of een beloningsprogramma voor het opsporen van kwetsbaarheden?
Een CVDP of beloningsprogramma voor het opsporen van kwetsbaarheden is een vorm van toetredingsovereenkomst waarin de voornaamste contractuele bepalingen worden vastgelegd door de organisatie die verantwoordelijk is voor een informatiesysteem, en vervolgens worden aanvaard door de deelnemer wanneer deze vrij beslist om deel te nemen aan het uitgewerkte programma.
De invoering van een dergelijk beleid verduidelijkt de juridische situatie van de deelnemers. Ze kunnen immers aantonen dat ze over een voorafgaande toegangsmachtiging tot de betrokken informaticasystemen beschikken en dus niet ongeoorloofd binnendringen in die systemen, mits de in het beleid vermelde voorwaarden worden nageleefd (zie Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden. Deel II: Wettelijke aspecten).
Het is daarentegen in België niet wettelijk om, zelfs met goede bedoelingen, informaticabeveiligingstests uit te voeren op systemen van een organisatie die niet vooraf over een CVDP beschikt of niet deelneemt aan een beloningsprogramma voor het opsporen van kwetsbaarheden. In dat geval gaat het om het ongeoorloofd binnendringen in een informaticasysteem of een poging daartoe, die strafrechtelijk kunnen worden bestraft.
Het is ook niet wettelijk om inlichtingen over informaticakwetsbaarheden of “exploits” (informaticaprogramma’s die kwetsbaarheden misbruiken), die werden verkregen ingevolge een ongeoorloofde binnendringing in een informaticasysteem, bij te houden (te delen of te verkopen), zelfs als de betrokkene niet verantwoordelijk is voor die ongeoorloofde binnendringing.
6. Wat zijn de voordelen van een CVDP of van een beloningsprogramma voor het opsporen van kwetsbaarheden?
Een CVDP kan de verantwoordelijke organisatie op eerlijke en rechtmatige wijze informatie verschaffen over kwetsbaarheden van haar systemen en haar in staat stellen adequaat en tijdig op te treden. Zo kunnen potentiële risico’s en schade die deze kwetsbaarheden kunnen veroorzaken, zoveel mogelijk doeltreffend worden voorkomen of beperkt.
Naast andere technische en organisatorische maatregelen is de invoering van een CVDP een passende technische en organisatorische maatregel om incidenten te voorkomen die de beveiliging van haar netwerk- en informatiesystemen (en van haar persoonsgegevens) in het gedrang zouden brengen. Een CVDP biedt het onmiskenbare voordeel dat kwetsbaarheden worden geïdentificeerd en verholpen voordat zich een beveiligingsincident voordoet. Vanzelfsprekend is het beleid aantrekkelijker en doeltreffender wanneer de verantwoordelijke organisatie beslist om de deelnemers beloningen toe te kennen naargelang het belang en de kwaliteit van de verstrekte informatie (in het kader van een beloningsprogramma voor het opsporen van kwetsbaarheden of bug bounty-programma).
Zelfs wanneer de organisatie beloningen toekent en een beroep doet op een externe coördinator (platform voor ethische hacking), is de invoering van een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden doorgaans budgetvriendelijker dan de uitvoering van audits door externe bedrijven. De toekenning van een beloning in het kader van een beloningsprogramma voor het opsporen van kwetsbaarheden vloeit immers voort uit een resultaatsverbintenis in hoofde van de deelnemer, terwijl een externe auditor doorgaans slechts gebonden is door een middelenverbintenis. Die laatste moet dus worden vergoed voor al zijn prestaties, ook al heeft hij na afloop van zijn onderzoek geen kwetsbaarheden of enkel minder belangrijke kwetsbaarheden gevonden.
De internationale technische normen inzake de beveiliging van informatietechnologieën raden overigens uitdrukkelijk aan om een CVDP uit te voeren (zie bijvoorbeeld de internationale normen ISO/IEC 29147 en 30111). De invoering van een CVDP bevordert ook de kennis en het onderzoek op het vlak van cybersecurity.
Deze aanpak houdt in dat de betrokken organisatie zich ertoe verbindt de door de deelnemers verstrekte informatie te verwerken en te proberen de geïdentificeerde kwetsbaarheden te verhelpen, of minstens de gebruikers op de hoogte te brengen van de risico’s. Deze verbintenis kan ook een marketingargument zijn. De organisatie kan erop wijzen in haar communicatie. Vertrouwen in informatiesystemen is zeker een belangrijk element voor gebruikers of consumenten.
Een CVDP maakt het mogelijk een juridisch kader tussen ethische hackers en de organisatie vast te leggen, wat de vertrouwelijkheid van de informatie bevordert, een eventuele openbare bekendmaking zo goed mogelijk regelt en eventuele reputatieschade voor de organisatie voorkomt.
Tot slot kan de organisatie, door een beleid voor gecoördineerde bekendmaking te voeren, aantonen dat zij zich inspant om haar wettelijke verplichtingen voor de beveiliging van haar netwerk- en informatiesystemen na te leven: Algemene Verordening Gegevensbescherming EU nr. 2016/679 (“AVG”), wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (“NIS-wet”), regelgeving burgerlijke aansprakelijkheid, Wetboek van economisch recht, enz. (zie Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden. Deel I: Goede praktijken).
7. Wat indien een deelnemer de voorwaarden van het CVDP niet naleeft?
De deelnemer aan een CVDP moet de voorwaarden van het CVDP en de toepasselijke wettelijke bepalingen nauwgezet naleven.
Zo niet geniet de deelnemer niet meer de bescherming van het CVDP en kan hij worden beschouwd als een misdadiger, ongeacht zijn goede bedoelingen.
8. Hoe word je een ethische hacker?
De toegang tot het beroep van deelnemer aan een CVDP of “ethische hacker” is niet gereglementeerd. Iedereen kan zichzelf dus een “ethische hacker” noemen.
Niettemin kan een ethische hacker zijn vaardigheden aantonen aan de hand van diploma’s, opleidingen of beroepservaring, of nog, door te slagen voor tests bij de verantwoordelijke organisatie (of bij een coördinator die bijvoorbeeld een bug bounty-platform beheert).
Er bestaan ook erkende opleidingen ter zake (zie met name de certificering “Certified Ethical Hacker - (CEH)”, die georganiseerd wordt door de International Council of Electronic Commerce Consultants (EC-Council) en erkend is door het American National Standards Institute (ANSI)).
9. Wie moet ik contacteren indien de organisatie die verantwoordelijk is voor het informatiesysteem niet over een CVDP beschikt?
Indien er geen CVDP of beloningsprogramma voor het opsporen van kwetsbaarheden (particulier of openbaar) bestaat, heeft de ethische hacker geen toestemming om de beveiliging van het informatiesysteem van de verantwoordelijke organisatie te testen.
De ethische hacker moet een professionele eerstelijnssupport trachten te contacteren: externe coördinatoren in het kader van een CVDP of beheerders van beloningsprogramma’s voor het opsporen van kwetsbaarheden (bug bounty-programma’s). Hij moet hen informeren over de situatie en hun advies vragen.
Als er geen hulp komt van een derde “coördinator”, kan het Centrum voor Cybersecurity België de ethische hacker tweedelijnssupport bieden (vulnerabilityreport@cert.be).
10. Wat indien persoonsgegevens in het kader van een CVDP worden verwerkt?
Een CVDP heeft niet tot doel intentioneel persoonsgegevens te verwerken. Het is echter wel mogelijk dat de deelnemer, zelfs toevallig, persoonsgegevens moet verwerken in het kader van zijn onderzoek naar kwetsbaarheden.
De verwerking van persoonsgegevens heeft een ruime betekenis en omvat met name het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van de loutere wil tot identificatie van de gegevensverwerker, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online identificator, IP-adres of nog, locatiegegevens).
De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt.
Aangezien het CVDP een vorm van toetredingsovereenkomst is die de ethische hacker ten aanzien van de verantwoordelijke organisatie bindt, moeten hierin de verplichtingen van de partijen inzake de verwerking van persoonsgegevens worden vermeld, met name het doel van en de essentiële middelen voor de eventuele verwerking in het kader van dit beleid (zie Gids – Deel I Goede praktijken en Deel II Wettelijke aspecten).