Ethisch hacken

Ethisch hacken is het op een verantwoordelijke manier aan het licht brengen van een lek in een beveiligingssysteem.

In sommige gevallen willen hackers een bijdrage leveren aan de maatschappij door bedrijven en overheidsorganen te wijzen op de zwaktes in hun systeembeveiliging. Zo kan het zijn dat het aan de kaak stellen van een lek in een veelgebruikte server juist leidt tot extra beveiliging van die server.

Hacken is alleen strafbaar indien dit wederrechtelijk gebeurt. Dat wil zeggen: in strijd met het recht. Als computervredebreuk niet wederrechtelijk is, zal de rechter de hacker vrijspreken. In de praktijk wordt aangenomen dat – bijvoorbeeld – door ethisch hacken de wederrechtelijkheid kan komen te ontbreken.

Algemene uitgangspunten over ethisch hacken

Wil een ethisch hacker een beroep kunnen doen op het ontbreken van de wederrechtelijkheid van zijn inbraak, dan zal hij moeten voldoen aan drie voorwaarden:

1-    Een wezenlijk maatschappelijk belang

Men kan alleen een beroep doen op de uitzondering voor ethisch hacken indien met het hacken een wezenlijk maatschappelijk belang wordt gediend.

2 – De eis van proportionaliteit

Deze eis stelt dat een hacker niet verder mag gaan dan noodzakelijk is om het lek aan te tonen. Zo is het bijvoorbeeld niet noodzakelijk om een hele database te kopiëren om aan te tonen dat men toegang tot die database heeft verkregen.

3 – De eis van subsidiariteit

Deze eis stelt dat een hacker geen zware middelen mag gebruiken als minder vergaande middelen ook tot hetzelfde doel konden leiden. Deze eis is nauw verwant met de eis van subsidiariteit.

Het beleid omtrent vervolging van ethisch hackers is neergelegd in een beleidsbrief van het Openbaar Ministerie (OM). De huidige beleidsbrief uit 2020 vervangt de eerdere brief uit 2013. In de beleidsbrief benoemt het OM de hiervoor genoemde drie eisen en wordt ook verwezen naar de richtlijn van het NCSC. Dit betreft een richtlijn opgesteld over het bekend maken van een lek bij een organisatie, namelijk de Leidraad Coordinated Vulnerability Disclosure.

Leidraad Responsible Disclosure

Tijdens de One Conference in 2018 is de (vernieuwde) Leidraad Responsible Disclosure bekendgemaakt. Deze leidraad geeft handvatten aan organisaties om beleid in te voeren op basis waarvan ethisch hackers kwetsbaarheden bekend kunnen maken. Doel is om een samenwerking te creëren die leidt tot het op verantwoorde wijze bekendmaken van een gevonden lek.

Regels over het hacken

Het Responsible Disclosure beleid bevat een invulling van de drie hierbovengenoemde eisen. Onder punt 4.2 staat:

Het is raadzaam om in ieder geval de volgende zaken niet te doen (don'ts):

• gebruik te maken van social engineering om zich op die wijze toegang te verschaffen tot het systeem;
• een eigen backdoor in een informatiesysteem te plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen. Hiermee kan immers aanvullende (onevenredige) schade worden aangericht;
• de kwetsbaarheid verder uit te buiten dan noodzakelijk. De ethische hacker mag dus niet verder gaan dan nodig is om het lek aan te tonen;
• gegevens te kopiëren, te wijzigen of te verwijderen. Wel mogen hackers door middel van een directory listing aantonen dat zij toegang hebben verkregen. Hiermee kan immers bewijs worden vergaard zonder daadwerkelijk inhoudelijke gegevens te kopiëren;
• het aanbrengen van veranderingen in het systeem;
• het herhaaldelijk hacken van servers;
• de toegang tot het systeem te delen met derden;
• gebruik te maken van een brute force attack. Door brute force wordt immers geen echte kwetsbaarheid in de beveiliging van het systeem aangetoond.

Regels over het bekendmaken van het lek

Indien een lek legaal is gevonden, dient de ethisch hacker zorgvuldig te handelen. Het bekendmaken van een lek is een risicovolle onderneming waarbij de hacker snel de strafbare grens overschrijdt. Het responsible disclosure beleid bevat regels over het bekend maken van een gevonden lek. Uit het beleid volgt dat het in principe niet is toegestaan om lek meteen algemeen bekend te maken. Het Openbaar Ministerie meent namelijk dat een lek eerst bij de eigenaar van het systeem moet worden gemeld. Er kunnen echter omstandigheden zijn die ervoor zorgen dat het toch is toegestaan om het lek publiekelijk bekend te maken. Dit is over het algemeen pas het geval als de eigenaar van de beveiliging zich onvoldoende inspant om het lek op korte termijn te dichten. Is zo’n eigenaar nalatig, dan kan het toegestaan zijn om het lek bekend te maken.

Uit de CVD-voorwaarden volgt dat een ethisch hacker feitelijk moet nagaan of het bedrijf dat hij/zij wil testen, zelf al beleid heeft opgesteld voor het hacken van hun beveiliging. Indien dat het geval is, dient de ethisch hacker zich aan dat beleid te houden. Het Openbaar Ministerie geeft aan dat ook zonder aangifte van het gehackte bedrijf de ethisch hacker nog steeds vervolgd kan worden.

Kortom: Hoewel in de nieuwe CVD-leidraad een aantal concrete voorbeelden genoemd, wordt het voor ethische hackers niet veel duidelijker wat nu wel en niet mag. Voor ethische hackers is het vooraf dus moeilijk in te schatten of zij wel of niet vervolgd zullen worden voor hun hack.

Als u als ethisch hacker een oproep van de politie ontvangt, adviseren wij u om contact met ons op te nemen.

Ethisch hacken in de rechtspraak

ECLI:NL:RBOBR:2013:BZ1157

De rechtbank Oost-Brabant heeft in 2013 bepaald dat bij de beoordeling of er sprake is van bijzondere omstandigheden die het wederrechtelijk karakter van het handelen laten vervallen, de volgende factoren van belang zijn:

• Heeft verdachte gehandeld in het kader van een wezenlijk maatschappelijk belang?
• Was het handelen van verdachte proportioneel (ging het niet verder dan noodzakelijk was om het beoogde doel te bereiken)?
• Was/waren er geen minder vergaande manier(en) beschikbaar voor het bereiken van dat doel (het vereiste van subsidiariteit)?
• Er zijn dus wel degelijk aanknopingspunten op basis waarvan ethisch hacken de wederrechtelijkheid van het hacken ‘wegneemt’ en dus niet strafbaar is. Gezien de complexiteit van computervredebreuk is het verstandig om met een van onze gespecialiseerde advocaten contact op te nemen alvorens u een hack bekend maakt.

In deze zaak gaat het om een bekend politicus die heeft aangetoond dat een zorginstelling onvoldoende beveiligd was. De verdachte heeft bij de zorginstelling de inlogcodes opgemerkt waarna hij deze heeft gebruikt. Hij merkte dat het met die inlogcodes bijzonder eenvoudig was om medische gegevens van patiënten te achterhalen. De verdachte heeft vervolgens een aantal medische dossiers gedownload en (geanonimiseerd) bekendgemaakt om aan te tonen hoe slecht de zorginstelling beveiligd was.

De rechtbank oordeelde dat de verdachte te ver was gegaan in zijn hack. Voor het aantonen van het lek was het niet noodzakelijk om meerdere dossier te downloaden. De rechtbank oordeelde daarom dat niet is voldaan aan de eisen van ethisch hacken en heeft de verdachte veroordeeld tot een geldboete van 750 euro.

ECLI:NL:RBDHA:2014:15611

In deze zaak ging het ook om een ethisch hacker die een beveiligingsprobleem bij een zorginstelling aan de kaak wilde stellen. Hoewel de rechtbank Den Haag wel wilde aannemen dat de hacker geen kwade bedoelingen had, is hij toch te ver gegaan in zijn hack. De verdachte had immers meerdere keren op het systeem ingelogd en was hij op zoek gegaan naar medische informatie van personen. Volgens de rechtbank had de hacker dus na het binnendringen van het systeem niet verder moeten pluizen. Door dat toch te doen heeft de hacker de grens van het ethisch hacken overschreden, hetgeen leidde tot een veroordeling voor computervredebreuk.

Indien de ethisch hacker aan alle voorwaarden voldoet, zal er in principe geen strafvervolging plaatsvinden. Er is echter een dunne lijn tussen ‘legaal’ ethisch hacken en het strafbare computervredebreuk.

Uit de (vrij schaarse) jurisprudentie op dit gebied valt op te maken dat de straffen voor hackers die de grenzen minimaal overschrijden, relatief lage straffen worden opgelegd.