www.belgium.be Logo of the federal government

FAQ betreffende het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden en bug bounty-programma’s.

In deze FAQ vindt u een overzicht van de begrippen, de doelstellingen, de belangrijkste juridische vraagstukken en de goede praktijken rond de invoering van een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (of Coordinated Vulnerability Disclosure Policy – “CVDP”) en de procedure voor het melden van kwetsbaarheden (zie de speciale pagina: Bekendmaking van kwetsbaarheden aan het CCB) in de huidige stand van de wetgeving in België. In België mag elke natuurlijke of rechtspersoon die zonder frauduleuze bedoelingen of kwaadwilligheid handelt, zelfs wanneer er geen CVDP is, zoeken naar potentiële kwetsbaarheden in netwerken en informatiesystemen en deze melden, op voorwaarde dat aan bepaalde voorwaarden strikt wordt voldaan (zie hieronder). De auteur van een kwetsbaarheidsmelding moet zich er echter van bewust zijn dat hij geen algemene uitsluiting van aansprakelijkheid geniet bij het zoeken naar of melden van kwetsbaarheden (binnen of buiten het toepassingsgebied van een CVDP): hij moet proportioneel blijven in zijn acties, voorzichtig handelen en alle vereiste voorwaarden nauwgezet naleven.

1. Wat is een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (of “coordinated vulnerability disclosure policy” – CVDP in het Engels)?

Dit is een geheel van regels die vooraf zijn bepaald door een organisatie die verantwoordelijk is voor informatiesystemen waardoor deelnemers (of “ethische hackers”), met goede bedoelingen, mogelijke kwetsbaarheden in haar systemen kunnen opsporen, of haar alle relevante informatie hierover kunnen bezorgen. Deze regels, doorgaans openbaar gemaakt op een website, maken het mogelijk een juridisch kader te bepalen voor de samenwerking tussen de verantwoordelijke organisatie en de beleidsdeelnemers. Deze regels moeten onder meer de vertrouwelijkheid van de uitgewisselde informatie garanderen en een eventuele bekendmaking van de ontdekte kwetsbaarheden op een verantwoorde en gecoördineerde manier omkaderen. Het begrip “bekendmaking” betekent dus niet noodzakelijk dat de kwetsbaarheid openbaar wordt gemaakt, maar veeleer dat de deelnemer deze meedeelt aan de verantwoordelijke organisatie.

De deelnemer is verplicht de kwetsbaarheid mee te delen aan de verantwoordelijke organisatie, maar de openbare bekendmaking ervan (door de deelnemer of de betrokken organisatie) is facultatief in het kader van een CVDP. Een kwetsbaarheid is zwakke plek, gevoeligheid of fout in een netwerk of informatiesysteem die kan worden misbruikt door een cyberbedreiging. Een kwetsbaarheid kan leiden tot een onverwacht of ongewenst voorval en uitgebuit worden door kwaadwillige derden om de integriteit, authenticiteit, vertrouwelijkheid of beschikbaarheid van een systeem te schenden of om een systeem schade toe te brengen.

2. Wat is een beloningsprogramma voor het opsporen van kwetsbaarheden (of “bug bounty” in het Engels)?

Een beloningsprogramma voor het opsporen van kwetsbaarheden is een geheel van regels die een organisatie heeft bepaald om beloningen toe te kennen aan deelnemers die kwetsbaarheden identificeren in de door haar gebruikte technologieën. Deze beloning kan een geldsom zijn, maar ook een geschenk of een gewone publieke erkenning (rangschikking onder de beste deelnemers, publicatie, conferentie, etc.). Het betreft een beleidsvorm voor de gecoördineerde bekendmaking van kwetsbaarheden die voorziet in de toekenning van een beloning aan de deelnemer naargelang de hoeveelheid, het belang of de kwaliteit van de overgemaakte informatie. Deze beleidsvorm is aantrekkelijker voor eventuele deelnemers en leidt vaak tot betere resultaten voor de organisatie. De organisatie kan met name een beroep doen op een bug bounty-platform dat technische en administratieve bijstand biedt voor het beheer van haar beloningsprogramma voor het opsporen van kwetsbaarheden (rol van coördinator).

3. Wat is een coördinator?

Een coördinator is een natuurlijke of rechtspersoon die als tussenpersoon optreedt tussen de deelnemer en de organisatie die verantwoordelijk is voor een informatiesysteem door logistieke, technische en juridische bijstand te bieden of een andere functie te vervullen om de samenwerking te vergemakkelijken.  

Als geen coördinator is aangewezen in het kader van het beleid, kan het Centrum voor Cybersecurity België (CCB - [email protected]) die rol vervullen.

4. Wat is een deelnemer aan een CVDP of “ethische hacker”?

Dit is een persoon met goede bedoelingen die, met toestemming van de verantwoordelijke organisatie, wenst bij te dragen aan een betere beveiliging van de informatiesystemen. Hij kan bijvoorbeeld pentests uitvoeren of andere methoden gebruiken om de beveiliging van informatiesystemen na te gaan. Hij staat lijnrecht tegenover de hacker die zijn vaardigheden gebruikt om met slechte bedoelingen ongeoorloofd binnen te dringen in een systeem. De deelnemer wil de verantwoordelijke van het informatiesysteem of een coördinator op de hoogte brengen van eventueel ontdekte kwetsbaarheden, zodat ze kunnen worden weggewerkt.

5. Is het legaal om in België kwetsbaarheden op te sporen en te melden (in het kader van een CVDP, een beloningsprogramma  of zelfs buiten dergelijk beleid)?

Een CVDP of beloningsprogramma voor het opsporen van kwetsbaarheden is een vorm van toetredingsovereenkomst waarin de voornaamste contractuele bepalingen worden vastgelegd door de organisatie die verantwoordelijk is voor een informatiesysteem, en vervolgens worden aanvaard door de deelnemer wanneer deze vrij beslist om deel te nemen aan het uitgewerkte programma. De invoering van een dergelijk beleid verduidelijkt de juridische situatie van de deelnemers. Ze kunnen immers aantonen dat ze over een voorafgaande toegangsmachtiging tot de betrokken informaticasystemen beschikken en dus niet ongeoorloofd binnendringen in die systemen, mits de in het beleid vermelde voorwaarden worden nageleefd (zie Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden. Deel II: Wettelijke aspecten).

Sinds de goedkeuring van nieuwe wettelijke bepalingen in 2023 kan het CCB ook meldingen van mogelijke kwetsbaarheden ontvangen van natuurlijke of rechtspersonen. Deze wettelijke regeling kan ook worden toegepast wanneer zich problemen voordoen in het kader van een CVDP of een beloningsprogramma. Ze is echter onderworpen aan voorwaarden, waaronder de strikte beperking tot noodzakelijke en proportionele acties, de afwezigheid van frauduleuze bedoelingen of kwaadwilligheid, en het zo snel mogelijk melden en rapporteren aan respectievelijk de organisatie die verantwoordelijk is voor het systeem en het CCB. Zie voor meer informatie onze pagina Bekendmaking van kwetsbaarheden aan het CCB.

Buiten de vermelde kaders is het ook niet legaal om inlichtingen over informaticakwetsbaarheden of “exploits” (informaticaprogramma’s die kwetsbaarheden misbruiken), die werden verkregen ingevolge een ongeoorloofde binnendringing in een informaticasysteem, bij te houden (te delen of te verkopen), zelfs als de betrokkene niet verantwoordelijk is voor die ongeoorloofde binnendringing.

6. Wat zijn de voordelen van een CVDP of van een beloningsprogramma voor het opsporen van kwetsbaarheden?

Een CVDP kan de verantwoordelijke organisatie op een eerlijke en rechtmatige manier informatie verschaffen over kwetsbaarheden in de eigen systemen, zodat deze tijdig passende maatregelen kan nemen. Hierdoor kan zij de risico's en potentiële schade die deze kwetsbaarheden kunnen veroorzaken effectief voorkomen of zoveel mogelijk beperken. Naast andere technische en organisatorische maatregelen is de implementatie van een GDPR (AVG) een geschikte technische en organisatorische maatregel om incidenten te voorkomen die de beveiliging van haar netwerken en informatiesystemen (en haar persoonsgegevens) in gevaar kunnen brengen. Het heeft het onmiskenbare voordeel dat kwetsbaarheden worden geïdentificeerd en verholpen voordat er een beveiligingsincident plaatsvindt. 
 
Natuurlijk worden de aantrekkelijkheid en effectiviteit van het beleid vergroot als de verantwoordelijke organisatie besluit om deelnemers te belonen op basis van het belang en de kwaliteit van de verstrekte informatie (als onderdeel van een bug bounty-programma). Zelfs wanneer de organisatie beloningen toekent en gebruik maakt van een externe coördinator (platform voor ethisch hacken), zijn de kosten die gepaard gaan met het implementeren van een beleid van gecoördineerde openbaarmaking van kwetsbaarheden over het algemeen beter beheersbaar dan de kosten die gepaard gaan met het laten uitvoeren van audits door externe bedrijven. Het toekennen van een beloning in het kader van een beloningsprogramma voor het ontdekken van kwetsbaarheden vloeit namelijk voort uit een resultaatsverbintenis van de deelnemer, terwijl de externe auditor over het algemeen alleen gebonden is aan een middelenverbintenis. Laatstgenoemden moeten daarom worden beloond voor al hun diensten, zelfs als ze als resultaat van hun onderzoek geen of slechts kleine kwetsbaarheden vinden. Internationale technische normen op het gebied van IT-beveiliging bevelen expliciet de implementatie van een CVDP aan (zie bijvoorbeeld de internationale normen ISO/IEC 29147 en 30111). 
 
Het aannemen van een CVDP stimuleert ook kennis en onderzoek op het gebied van cyberbeveiliging. Deze aanpak impliceert een verbintenis van de betrokken organisatie om de door deelnemers verstrekte informatie te verwerken en te proberen de geïdentificeerde kwetsbaarheden te verhelpen, of op zijn minst gebruikers te informeren over de risico's. Deze verbintenis kan ook een marketingargument zijn. Deze toezegging kan ook een marketingargument zijn en worden benadrukt in de communicatie van de organisatie. Vertrouwen in informatiesystemen is zeker een belangrijke factor voor gebruikers en consumenten. Een VPS maakt het mogelijk om een juridisch kader op te stellen tussen ethische hackers en de organisatie, dat de vertrouwelijkheid van informatie versterkt, het best mogelijke kader biedt voor een eventuele openbaarmaking en mogelijke schade aan de reputatie van de organisatie voorkomt. 
 
Tot slot maakt de implementatie van een gecoördineerd openbaarmakingsbeleid het mogelijk om te bewijzen dat de organisatie zich inspant om te voldoen aan haar wettelijke verplichtingen om haar netwerken en informatiesystemen te beveiligen: Algemene Verordening Gegevensbescherming EU nr. 2016/679 ("GDPR"), Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid ("NIS-wet"), regels voor wettelijke aansprakelijkheid, Wetboek van Economisch Recht, enzovoort (zie Gids voor een gecoördineerd openbaarmakingsbeleid voor kwetsbaarheden. Deel I: Goede praktijken).
 

7. Wat indien een deelnemer de voorwaarden van het CVDP niet naleeft?

De deelnemer aan een CVDP moet zich in principe strikt houden aan de voorwaarden van het beleid van de organisatie die verantwoordelijk is voor het IT-systeem. Als alternatief en als aan alle wettelijke voorwaarden is voldaan (inclusief melding aan het CCB), kan de deelnemer ook de procedure voor het melden van kwetsbaarheden toepassen zoals beschreven in vraag 5. Afgezien van deze situaties geniet de deelnemer geen wettelijke bescherming en kan hij worden vervolgd voor zijn acties bij het zoeken naar kwetsbaarheden.

8. Hoe word je een ethische hacker?

De toegang tot het beroep van deelnemer aan een CVDP of “ethische hacker” is niet gereglementeerd. Iedereen kan zichzelf dus een “ethische hacker” noemen. Niettemin kan een ethische hacker zijn vaardigheden aantonen aan de hand van diploma’s, opleidingen of beroepservaring, of nog, door te slagen voor tests bij de verantwoordelijke organisatie (of bij een coördinator die bijvoorbeeld een bug bounty-platform beheert). Er bestaan ook erkende opleidingen ter zake (zie met name de certificering “Certified Ethical Hacker - (CEH)”, die georganiseerd wordt door de International Council of Electronic Commerce Consultants (EC-Council) en erkend is door het American National Standards Institute (ANSI)).

9. Wie moet ik contacteren indien de organisatie die verantwoordelijk is voor het informatiesysteem niet over een CVDP beschikt?

Als er geen CVDP of beloningsprogramma is voor de ontdekking van kwetsbaarheden (privé of openbaar), moet de ethische hacker voldoen aan de wettelijke voorwaarden van de procedure voor het melden van kwetsbaarheden om volgens de Belgische wet de beveiliging van het informatiesysteem van de verantwoordelijke organisatie te mogen testen.

10. Wat indien persoonsgegevens in het kader van een CVDP worden verwerkt?

Een CVDP heeft niet tot doel intentioneel persoonsgegevens te verwerken. Het is echter wel mogelijk dat de deelnemer, zelfs toevallig, persoonsgegevens moet verwerken in het kader van zijn onderzoek naar kwetsbaarheden.

De verwerking van persoonsgegevens heeft een ruime betekenis en omvat met name het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van de loutere wil tot identificatie van de gegevensverwerker, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online identificator, IP-adres of nog, locatiegegevens).

De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt.

Aangezien het CVDP een vorm van toetredingsovereenkomst is die de ethische hacker ten aanzien van de verantwoordelijke organisatie bindt, is het nuttig dat hierin de verplichtingen van de partijen inzake de verwerking van persoonsgegevens worden vermeld, met name het doel van en de essentiële middelen voor de eventuele verwerking in het kader van dit beleid (zie Gids – Deel I Goede praktijken en Deel II Wettelijke aspecten).