Wat mag een ethische hacker precies?

Ethische hackers kunnen bedrijven helpen beveiligingsproblemen op te sporen voordat deze daadwerkelijk door kwaadwillenden worden misbruikt. Wat mag een ethische hacker echter precies en wat mag juist niet? Dit zet het Openbaar Ministerie (OM) uiteen in een artikel op haar website.

Het OM wijst erop dat het zoeken naar bugs, beveiligingslekken en andere soorten kwetsbaarheden in ICT-systemen van een derde partij niet zomaar is toegestaan. Het is dan ook niet toegestaan actief te proberen een ICT-systeem van een derde partij binnen te dringen zonder dat hiervoor expliciete toestemming is verleend. Deze toestemming kan bijvoorbeeld worden verleend indien een (ethische) hacker door een bedrijf wordt ingehuurd om een nieuw ICT-systeem te testen.

Coordinated Vulnerability Disclosure of Responsible Disclosure

Desondanks geeft het OM aan ethische hackers die zonder toestemming een systeem binnen te dringen niet standaard te vervolgen indien deze organisatie over een Coordinated Vulnerability Disclosure (CVD) of Responsible Disclosure (RD) beleid beschikt. Hierbij is wel van belang dat de hacker zich aan de regels houdt die in dit beleid zijn vastgelegd en een organisatie bijvoorbeeld voldoende tijd geeft om het beveiligingsprobleem te verhelpen voordat tot openbaar making wordt overgegaan. Het OM raadt ethische hackers aan nooit te zorgen dat zij nooit verder gaan wat redelijk en noodzakelijk is. Om dit aan te tonen en te bewijzen dat het CVD of RD beleid is nageleefd, adviseert het OM ethische hackers hun handelingen vast te leggen in logbestanden. Met behulp van deze bestanden kunnen de stappen van de hacker nauwkeurig worden gereconstrueerd.

Indien ethische hackers zich echter - bewust of onbewust - niet aan het CVD of RD beleid hebben gehouden, kan een onderzoek worden ingesteld. Op basis van dit onderzoek bepaalt het OM vervolgens of tot vervolging wordt overgegaan.