Bel: +31 (0)20 210 33 34

Ethisch hacken

Ethisch hacken

Wat is ethisch hacken?

In sommige gevallen willen hackers een bijdrage leveren aan de maatschappij door bedrijven en overheidsorganen te wijzen op de zwaktes in hun systeembeveiliging. Zo kan het zijn dat het aan de kaak stellen van een lek in een veelgebruikte server juist leidt tot extra beveiliging van die server.

Wanneer is ethisch hacken strafbaar?

Hacken is alleen strafbaar indien dit opzettelijk en wederrechtelijk gebeurt (zie hacken/ computervredebreuk). Indien hacking niet wederrechtelijk is, zal de rechter de hacker vrijspreken. In de praktijk wordt aangenomen dat – bijvoorbeeld – door ethisch hacken de wederrechtelijkheid kan komen te ontbreken.

Aanknopingspunten bij ethisch hacken

Het is vooraf moeilijk te bepalen of een inbraak gezien zal worden als een ethische hack of dat er toch sprake is van computervredebreuk. Inmiddels leert de ervaring dat er wel aanknopingspunten zijn om te bepalen of er sprake is van een niet wederrechtelijke hack.

De hacker mag bijvoorbeeld niet onevenredig handelen door:

  • Gebruik te maken van social engineering om zich op die wijze toegang te verschaffen tot het systeem.
  • Een eigen backdoor in een informatiesysteem te plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen. Hiermee kan immers aanvullende (onevenredige) schade worden aangericht.
  • De kwetsbaarheid verder uit te buiten dan noodzakelijk. De ethische hacker mag dus niet verder gaan dan nodig is om het lek aan te tonen.
  • Gegevens te kopiëren, te wijzigen of te verwijderen. Wel mogen hackers door middel van een directory listing aantonen dat zij toegang hebben verkregen. Hiermee kan immers bewijs worden vergaard zonder daadwerkelijk inhoudelijke gegevens te kopiëren.
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk hacken van servers.
  • De toegang tot het systeem te delen met derden.
  • Door gebruik te maken van een brute force attack. Door brute force wordt immers geen echte kwetsbaarheid in de beveiliging van het systeem aangetoond.

Bekend maken van systeemlekken

Wanneer een ethisch hacker een systeemlek bekend wil maken, dient hij dit op een verantwoorde wijze te doen. Hierbij kan onderscheid gemaakt worden tussen responsible disclosue en full disclosure.

Responsible disclosure
Indien het bekendmaken van de gegevens voldoet aan de richtlijnen van het Ministerie van Veiligheid en Justitie zal de hacker niet vervolgd worden. In deze richtlijn is onder andere opgenomen dat de hacker eerst de eigenaar van de server in de gelegenheid moet stellen om het lek te herstellen.

Full disclosure
In principe is het niet toegestaan om een ontdekt lek meteen algemeen bekend te maken. Toch kunnen er omstandigheden zijn die ervoor zorgen dat dit toch is toegestaan. De praktijk leert namelijk dat de wederrechtelijkheid van computervredebreuk ook op grond van art. 10 EVRM (persvrijheid) kan vervallen. De rechtbank Oost Brabant heeft bijvoorbeeld in 2013 bepaald dat bij de beoordeling of er sprake is van bijzondere omstandigheden die het wederrechtelijk karakter van het handelen laten vervallen, de volgende factoren van belang zijn:

  • Heeft verdachte gehandeld in het kader van een wezenlijk maatschappelijk belang?
  • Was het handelen van verdachte proportioneel (ging het niet verder dan noodzakelijk was om het beoogde doel te bereiken)?
  • Was/waren er geen minder vergaande manier(en) beschikbaar voor het bereiken van dat doel (het vereiste van subsidiariteit)?

Er zijn dus wel degelijk aanknopingspunten op basis waarvan ethisch hacken de wederrechtelijkheid van het hacken ‘wegneemt’ en dus niet strafbaar is. Gezien de complexiteit van computervredebreuk is het verstandig om met een van onze gespecialiseerde advocaten contact op te nemen alvorens u een hack bekend maakt.

Wat voor straf staat er op hacken?

Als aan de in het vorige kopje genoemde aanknopingspunten is voldaan, kan het zijn dat ethisch hacken niet strafbaar is.

Is aan deze aanknopingspunten niet voldaan, dan valt het ethisch hacken onder het eerder besproken hacken/computervredebreuk. Wel kan de rechter in de strafmaat rekening houden met het ethische karakter van de computervredebreuk.