1. Onder welke Belgische wet mag er ethisch gehackt worden?
Onder de wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (7 april 2019).
2. Onder welke voorwaarden mag er ethisch gehackt worden?
Enkele belangrijke voorwaarden:
- Je mag als ethisch hacker niet verder gaan dan nodig bij het aantonen van een probleem. Als je als ethisch hacker gevoelige informatie en persoongegevens kan inkijken, is het niet de bedoeling dat je die gaat downloaden.
- Gevonden kwetsbaarheden moeten binnen de 72 uur na ontdekking gemeld worden bij de bevoegde instanties.
- Je moet het Centrum voor Cyberveiligheid België informeren als de organisatie, de kennisinstelling of het bedrijf zelf geen meldingsbeleid heeft.
- Het is verboden om informatie te publiceren over de gevonden kwetsbaarheden zonder toestemming van het Centrum voor Cyberveiligheid België.
- Je mag uiteraard ook niet expliciet om een vergoeding vragen.
- Sommige zaken zijn uitgesloten, zeker als ze schade kunnen aanrichten. Denk maar aan DDoS-aanvallen, phishing, enz.
Meer informatie via deze link
3. Mogen lokale besturen ethische hackers inzetten om kwaadaardige hackers aan te pakken?
Ethische hackers kunnen geen andere hackers aanvallen, omdat dit neerkomt op het hacken van systemen van derden. Dit is illegaal en dus strafbaar.
4. Is het onder de Belgische wet strafbaar om als ethisch hacker hacking tools te bezitten?
In bovenstaande vermelde wet beschrijft art. 55 bis duidelijk dat het bezitten van hacking tools strafbaar is.
[Hij die, onrechtmatig, enig instrument, met inbegrip van informaticagegevens, dat hoofdzakelijk is ontworpen of aangepast om die in §§ 1 tot 4 bedoelde misdrijven mogelijk te maken, bezit, produceert, verkoopt, verkrijgt met het oog op het gebruik ervan, invoert, verspreidt of op enige andere manier ter beschikking stelt, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig euro tot honderdduizend euro of met één van die straffen alleen.]
In de praktijk is vervolging hiervoor echter zeldzaam.
5. Kan je als lokaal bestuur ethische hackers vragen zich eerst te melden, vooraleer ze beginnen met testen?
In de praktijk is het meestal niet mogelijk om vooraf melding te maken als je als ethisch hacker testen gaat uitvoeren. Vele ethische hackers testen duizenden systemen tegelijkertijd en het is vaak heel moeilijk en niet haalbaar om contactgegevens te vinden.