Wettelijke procedure voor het melden van kwetsbaarheden aan het CCB

Het Centrum voor Cybersecurity België (hierna het "CCB") kan, in zijn hoedanigheid van nationaal CSIRT, meldingen van natuurlijke of rechtspersonen over mogelijke kwetsbaarheden ontvangen (zie de artikelen 22 en 23 van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid hierna de “NIS2-wet”).

Naast de wettelijke procedure voor het melden van kwetsbaarheden vervult het CCB ook een aanvullende rol als coördinator (by default) bij de implementatie in België van gecoördineerde bekendmaking van kwetsbaarheden of bug bounty-programma's (bijstand, coördinatie, informatie-uitwisseling, enz.).

Algemene kenmerken van de wettelijke procedure voor het melden van kwetsbaarheden

1° U mag niet verder gaan dan wat noodzakelijk en evenredig is om het bestaan van een kwetsbaarheid na te gaan en te melden (zie verder punt C "Evenredigheid en noodzaak van de acties").

2° U moet handelen zonder bedrieglijk opzet of het oogmerk om te schaden.

U mag uw onderzoek niet gebruiken met bedrieglijk opzet of het oogmerk om te schaden. U mag de verantwoordelijke organisatie of derden bijvoorbeeld niet trachten te laten betalen voor de ontdekte informatie (tenzij, uiteraard, vooraf uitdrukkelijk een beloning of vergoeding is voorzien in het kader van een pentest- of bug bounty-overeenkomst, enz.). Evenmin mag u, zonder contractuele toestemming van de verantwoordelijke organisatie, de ontdekte kwetsbaarheid gebruiken om er persoonlijk voordeel of een voordeel voor derden uit te halen.

Maak uzelf indien mogelijk op voorhand, tijdens uw onderzoek, bekend bij de verantwoordelijke organisatie om uw goede bedoelingen te tonen, door bijvoorbeeld een header of een andere identificeerbare parameter te gebruiken.

3° Onverwijld en uiterlijk binnen 24 uur na de ontdekking van een mogelijke kwetsbaarheid dient u een vereenvoudigde melding van de kwetsbaarheid te richten aan de verantwoordelijke organisatie en aan het CCB, volgens de in punt D beschreven procedure.

De melding van een kwetsbaarheid gebeurt in twee fasen: eerst een vereenvoudigde melding binnen 24 uur, daarna een volledige melding binnen uiterlijk 72 uur. Het doel van de eerste melding is de betrokken organisatie en het CCB te informeren dat er een mogelijke kwetsbaarheid is gevonden. De kennisgeving bevat een identificatie van de betrokken systemen en een vereenvoudigde beschrijving van de potentiële kwetsbaarheid.

De deadline begint te lopen vanaf het moment waarop de persoon redelijkerwijs op de hoogte had moeten zijn van de ontdekking van een mogelijke kwetsbaarheid (zie definitie), d.w.z. na een redelijke termijn van onderzoek en validatie om een mogelijke kwetsbaarheid vast te stellen.

U komt niet in aanmerking voor wettelijke bescherming indien u de betrokken organisatie en het CCB niet binnen de vereiste deadlines op de hoogte stelt.

4° Onverwijld en ten laatste binnen 72 uur na de ontdekking van een mogelijke kwetsbaarheid dient u een volledige melding van de kwetsbaarheid te richten aan de verantwoordelijke organisatie en aan het CCB, volgens de procedure beschreven in punt D.

De volledige melding bevat een gedetailleerde beschrijving van de kwetsbaarheid, inclusief precieze stappen om de kwetsbaarheid te reproduceren, evenals andere technische informatie zoals configuratiedetails, besturingssysteem, gebruikte tools, enz.

Indien meerdere personen aan het onderzoek hebben deelgenomen, kunnen de vereenvoudigde en volledige meldingen gebeuren op naam van verschillende personen, die dan samen de verantwoordelijkheid op zich nemen. Gemakshalve kunnen verschillende kwetsbaarheden die betrekking hebben op dezelfde verantwoordelijke organisatie ook in één vereenvoudigde of volledige melding worden meegedeeld. Voor elke betrokken organisatie moet echter telkens een aparte melding gebeuren.

Om aan te tonen dat u de kwetsbaarheid zo snel mogelijk hebt gemeld, is het raadzaam dat u bewijzen bijhoudt van de ondernomen acties (logging) met betrekking tot het systeem, het proces of de controle in kwestie en deze informatie op het ogenblik van de melding meedeelt aan het CCB. Binnen de twee deadlines wordt ook aangeraden om de melding te doen voor enig actief verzet (bv. door poorten dicht te zetten) door de verantwoordelijke organisatie en/of iedere daad van strafrechtelijk onderzoek, teneinde de tijdigheid van uw melding te onderlijnen.

5° U mag geen informatie over de ontdekte kwetsbaarheid openbaar maken zonder toestemming van het CCB.

U mag zonder voorafgaande toestemming van het CCB geen informatie uit het rapport openbaar maken (of delen met derden die niet bij het onderzoek betrokken zijn) waarmee de betrokken organisatie, de kwetsbare systemen, de specifieke kwetsbaarheid en de manier waarop deze kan worden misbruikt, kunnen worden geïdentificeerd.

U dient de kwetsbaarheid te melden aan de betrokken organisatie en aan het CCB, maar de daaropvolgende openbaarmaking blijft optioneel en moet in alle gevallen op gecoördineerde wijze gebeuren (rekening houdend met de belangen van de betrokken partijen en de bestaande risico's, met name het algemeen belang bij openbaarmaking) – zie punt F. Procedure hieronder.

Indien meerdere organisaties door dezelfde kwetsbaarheid worden getroffen, kunt u voor elke betrokken organisatie meerdere meldingen indienen.

Dit belet de onderzoeker niet om in algemene termen te spreken over bepaalde soorten kwetsbaarheden (zonder de specifieke gemelde kwetsbaarheid, de betrokken organisatie of de gebruikte methode te vermelden).

6° met betrekking tot de netwerken en informatiesystemen van sommige organisaties moet u, alvorens uw onderzoek aan te vatten, een schriftelijke overeenkomst voor kwetsbaarheidsonderzoek afsluiten met de betrokken dienst.

Deze aanvullende voorwaarde is alleen van toepassing op de informatiesystemen van de volgende organisaties (en op informatie die door of voor hen wordt verwerkt): ADIV, VSSE, OCAD, Ministerie van Defensie, politiediensten, Belgische diplomatieke en consulaire missies buiten de EU, nucleaire inrichtingen van klasse I, het NCCN, het CCB en gerechtelijke overheden. Een dergelijke overeenkomst kan bijvoorbeeld de vorm aannemen van een door de organisatie aangenomen CVD-beleid.

Uw acties moeten beperkt blijven tot feiten die noodzakelijk zijn om een kwetsbaarheid in een netwerk- en informatiesysteem te kunnen opsporen en melden.

Afhankelijk van de context kunnen met name de volgende acties als evenredig worden beschouwd (niet-limitatieve lijst):

• het ongeoorloofd binnendringen in een informaticasysteem of de poging daartoe (art. 550bis, § 1 en 4, van het Strafwetboek; art. 524 en 527 van het nieuwe Strafwetboek);
• het overschrijden van een toegangsbevoegdheid tot een informaticasysteem of de poging daartoe (art. 550bis, § 2 en 4, van het Strafwetboek; art. 525 en 527 van het nieuwe Strafwetboek);
• het overnemen of kopiëren van informaticagegevens (art. 550bis, § 3, van het Strafwetboek; art. 526 van het nieuwe Strafwetboek);
• het ontwikkelen of bezitten van hacking tools (art. 550bis, § 5, van het Strafwetboek; art. 528 van het nieuwe Strafwetboek);
• het bijhouden, onthullen, gebruiken of verspreiden van informatie die door ongeoorloofde binnendringing is verkregen - bijvoorbeeld informatie die beschikbaar is op het internet (art. 550bis, § 7, van het Strafwetboek; art. 530 van het nieuwe Strafwetboek);
• het invoeren of wijzigen van gegevens in een informaticasysteem (art. 550ter van het Strafwetboek; art. 531-533 van het nieuwe Strafwetboek);
• het onderscheppen van communicatie of de poging daartoe (art. 314bis van het Strafwetboek; art. 342-346 van het nieuwe Strafwetboek; en/of art. 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie);
• de schending van het beroepsgeheim of van een contractuele geheimhoudingsplicht (art. 458 van het Strafwetboek; art. 352 van het nieuwe Strafwetboek).

Uw acties en onderzoeksmethoden moeten noodzakelijk blijven voor het doel om het bestaan van een kwetsbaarheid na te gaan teneinde de beveiliging van het systeem, het proces of de controle in kwestie te verbeteren, en moeten in verhouding blijven tot dit doel. De gebruikte technieken moeten dus noodzakelijk en evenredig zijn om een beveiligingsprobleem aan te tonen.

Indien het beveiligingsprobleem op kleine schaal kan worden aangetoond, mag u uw onderzoek niet verder uitbreiden. Het is niet de bedoeling de kwetsbaarheid te gebruiken om na te gaan hoe ver men in een systeem, proces of controle kan binnendringen. Het is evenmin verantwoord om de beschikbaarheid van de door de betrokken apparatuur verleende diensten te verstoren.

Indien dit niet noodzakelijk is om het bestaan van een kwetsbaarheid aan te tonen, mogen geen gegevens uit het systeem, het proces of de controle worden gebruikt of bewaard. Ook moeten alle verzamelde gegevens binnen een redelijke termijn na de melding worden verwijderd. Indien het noodzakelijk is om deze gegevens nog enige tijd te bewaren of indien er een gerechtelijke procedure loopt, moet u ervoor zorgen dat deze gegevens in deze periode veilig worden bewaard.

Afhankelijk van de context kunnen de volgende acties in het bijzonder als onevenredig en/of onnodig worden beschouwd (niet-limitatieve lijst): 

• de installatie van malware: virussen, wormen, Trojaanse paarden, enz.;
• Distributed Denial Of Service (DDOS)-aanvallen;
• social engineering;
• phishing;
• spamming;
• diefstal van paswoorden of brute force-aanvallen;
• het verwijderen van gegevens uit het informaticasysteem;
• het toebrengen van redelijkerwijs voorzienbare schade aan het bezochte systeem of aan de gegevens ervan;
• alle andere misdrijven van het Strafwetboek die niet worden vermeld in de lijst hierboven (bv. inbraak, diefstal, agressie, enz.).

Ten slotte moet u er ook rekening mee houden dat, indien uw kwetsbaarheidsonderzoek wordt uitgevoerd op activa of op netwerk- en informatiesystemen die zich geheel of gedeeltelijk buiten het Belgische grondgebied bevinden, deze meldingsprocedure u alleen in België beschermt en niet in de andere betrokken landen.

Gelieve de ontdekte informatie uitsluitend naar het volgende e-mailadres te sturen: vulnerabilityreport[at]ccb.belgium.be, met daarbijgevoegd de volgende formulieren. 

De ingevulde formulieren moeten ons worden toegestuurd in Word-, ODT- of PDF-formaat, beveiligd met een wachtwoord, of in een zip-bestand, beveiligd met een wachtwoord (om een eventuele blokkering door onze antivirusfilters te vermijden).

Het bestand mag in totaal niet groter zijn dan 7 MB.

Controleer punt B, 3° en 4° om te bepalen welk formulier u wanneer moet verzenden.

Wij verzoeken u voor zover mogelijk 
beveiligde communicatiemiddelen te gebruiken cf. PGP-sleutel die overeenkomt met "Vulnerability Report"

Beveilig het formulier met een paswoord dat u ons per e-mail meedeelt.

Bezorg ons voldoende informatie zodat wij de kwetsbaarheid kunnen begrijpen en deze zo snel mogelijk kunnen verhelpen.

Voor zover u alle onder B en C genoemde voorwaarden naleeft, kan een rechtvaardigingsgrond op limitatieve wijze worden aanvaard voor de misdrijven bedoeld in de artikelen 314bis, 550bis en 550ter van het Strafwetboek (zie verwijzingen naar de overeenkomstige artikelen in het nieuwe Strafwetboek - artikelen 342, 343, 352, 524 tot en met 533), en in artikel 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie.

Indien u informatie meldt over een mogelijke kwetsbaarheid waarvan u in het kader van uw beroep kennis hebt gekregen, wordt u niet geacht uw beroepsgeheim te hebben geschonden en kan u op generlei wijze aansprakelijkheid worden gesteld voor de overdracht van informatie die noodzakelijk was om een mogelijke kwetsbaarheid aan het CCB te melden.

Handelingen of nalatigheden die niet noodzakelijk zijn voor de uitvoering van de meldingsprocedure en die niet aan alle onder B genoemde voorwaarden voldoen, blijven strafrechtelijk en burgerrechtelijk strafbaar.

Het is belangrijk ermee rekening te houden dat deze wettelijke bescherming beperkt is tot de toepassing van het Belgische recht en u geen bescherming biedt voor mogelijke inbreuken die krachtens het recht van andere landen worden gepleegd.

Ten slotte verbindt het CCB zich ertoe, indien u hierom verzoekt en indien de voorwaarden onder B vervuld zijn, uw identiteit geheim te houden.

Het CCB verbindt zich ertoe om, wanneer het een melding van een kwetsbaarheid ontvangt, de melder een ontvangstbevestiging te sturen.

Indien de persoon geen ontvangstbevestiging krijgt binnen een redelijke termijn of indien hij/zij specifieke vragen heeft, kan hij/zij in voorkomend geval een e-mail sturen naar het adres vulnerabilitydisclosure[at]ccb.belgium.be.

Bij het indienen van de melding of tijdens de procedure kan de persoon die de melding doet om anonimiteit verzoeken (en deze wordt toegekend indien aan de wettelijke voorwaarden van de procedure is voldaan).

De melder en het CCB verbinden zich ertoe alles in het werk te stellen om een permanente en doeltreffende communicatie te garanderen teneinde de kwetsbaarheid te identificeren en er een oplossing voor te vinden.

Op basis van de informatie waarover het CCB beschikt, voert het CCB een redelijke controle uit op de naleving van de voorwaarden van de wettelijke meldingsprocedure (deadline, gedrag/acties van de onderzoeker, geen openbaarmaking zonder voorafgaande toestemming, mogelijke voorafgaande schriftelijke toestemming voor bepaalde organisaties), zie punten B en C, indien van toepassing, in samenwerking met de relevante afdelingen van het Openbaar Ministerie. Het CCB is echter niet bevoegd om een definitief besluit te nemen over de vraag of aan deze voorwaarden is voldaan, aangezien dit de exclusieve verantwoordelijkheid is van de gerechtelijke overheden.

Het CCB kan de beveiliging van een netwerk en informatiesysteem observeren, bestuderen of testen om na te gaan of er sprake is van een potentiële kwetsbaarheid of om de methoden van de auteur van een melding te verifiëren. Het is echter niet verplicht om elke aan het CCB gemelde “potentiële kwetsbaarheid” formeel te valideren of te testen.

Indien de onderzoeker wenst dat de kwetsbaarheid openbaar wordt gemaakt, moet hij een formeel verzoek indienen bij het CCB, die contact met hem en de door de kwetsbaarheid betrokken organisatie zal opnemen om de mogelijkheid van openbaarmaking te onderzoeken en over de deadline te onderhandelen.

De beslissing om toestemming te geven voor openbaarmaking berust bij het management van het CCB op basis van de door de verschillende betrokken partijen verstrekte informatie.

Het CCB zal bij zijn beslissing met name rekening houden met de volgende factoren (niet-limitatieve lijst):

1. de ernst van de kwetsbaarheid en de mate waarin deze kan worden misbruikt;
2. de kritieke aard van de door de kwetsbaarheid getroffen organisaties (bv. essentiële of belangrijke entiteiten in de context van NIS2);
3. de mate waarin de kwetsbaarheid kan worden gedetecteerd en de waarschijnlijkheid dat deze door anderen wordt misbruikt;
4. de implementatie van een oplossing op de getroffen informatiesystemen;
5. of de kwetsbaarheid kan worden gevalideerd.

Een beslissing om de publicatie toe te staan, betekent niet dat de kwetsbaarheid door het CCB is gevalideerd, maar alleen dat het CCB onvoldoende informatie heeft om de openbaarmaking te weigeren op grond dat deze een risico vormt voor de openbare veiligheid (voor de netwerk- en informatiesystemen van de betrokken organisatie of andere organisaties).

Indien binnen een redelijke deadline na het formele verzoek om openbaarmaking (verstrijken van een deadline van 90 dagen) geen besluit is genomen, kan de onderzoeker ervan uitgaan dat het CCB geen bezwaar of redenen heeft om zich te verzetten tegen openbaarmaking van de kwetsbaarheid.

Verwerking van persoonsgegevens door de onderzoeker

Tijdens uw onderzoek en melding van een kwetsbaarheid kunt u in contact komen met persoonsgegevens.

De verwerking van persoonsgegevens heeft een ruime betekenis en omvat met name het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van de loutere wil tot identificatie van de gegevensverwerker, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online-identificator, IP-adres of nog, locatiegegevens).

In dit geval moet de melder ervoor zorgen dat hij voldoet aan zijn verplichtingen met betrekking tot de bescherming van persoonsgegevens als verwerkingsverantwoordelijke onder de Algemene Verordening Gegevensbescherming (AVG).

Met inachtneming van de beginselen van noodzakelijkheid en evenredigheid moet hij de eventuele verwerking van dergelijke gegevens tot een strikt minimum beperken en mag deze gegevens niet gebruiken voor andere doeleinden dan het aantonen van het bestaan van een kwetsbaarheid, het aantonen van de echtheid van zijn acties en het meedelen van de betrokken informatie aan de verantwoordelijke organisatie en het CCB. Indien het bestaan van een kwetsbaarheid aan de hand van een beperkte hoeveelheid van persoonsgegevens kan worden aangetoond, is het niet nodig om alle toegankelijke gegevens te verwerken of op te slaan.

De melder moet er met name op toezien dat de eventueel door hem verwerkte gegevens worden opgeslagen met waarborging van een beveiligingsniveau dat is afgestemd op de risico's (bij voorkeur versleuteld en geanonimiseerd) en dat deze gegevens onmiddellijk worden verwijderd na afloop van de verwerking (tot het einde van de meldingsprocedure of, eventueel, in geval van een geschil of gerechtelijke procedure, tot het einde van de procedure).

In het geval van een mogelijk verlies van persoonsgegevens, dat een risico kan vormen voor de rechten en vrijheden van de betrokken natuurlijke personen, moet de melder de verantwoordelijke organisatie en de Gegevensbeschermingsautoriteit zo snel mogelijk en uiterlijk 72 uur nadat hij er kennis van heeft genomen, op de hoogte stellen (zie de uitleg en de vereiste procedure op de website van de GBA).

Verwerking van persoonsgegevens door de betrokken organisatie

Als een organisatie door het CCB op de hoogte wordt gebracht van een kwetsbaarheid, moet zij beoordelen of deze kwetsbaarheid niet kan worden beschouwd als een inbreuk op persoonsgegevens die moet worden gemeld aan de bevoegde Gegevensbeschermingsautoriteit in het kader van de AVG.

In geval van een potentieel datalek dat een risico kan vormen voor de rechten en vrijheden van natuurlijke personen, herinnert het CCB alle betrokken organisaties eraan dat het de verantwoordelijkheid van de verwerkingsverantwoordelijke is om de Gegevensbeschermingsautoriteit (GBA) zo snel mogelijk en uiterlijk 72 uur nadat hij ervan kennis heeft gekregen, op de hoogte te brengen (zie de toelichting en de vereiste procedure op de website van de GBA).