Coordinated Vulnerability Disclosure / ethisch hacken

Coordinated Vulnerability Disclosure is het op een verantwoorde wijze en in gezamenlijkheid tussen melder (de ethische hacker) en organisatie openbaar maken van kwetsbaarheden in de ICT-systemen van die organisatie. Iedereen kan een kwetsbaarheid melden bij een bedrijf, overheidsinstantie of andere organisatie.

Personen die dergelijke kwetsbaarheden zoeken worden ook wel ethische hackers genoemd. Na een melding heeft de organisatie de gelegenheid om de kwetsbaarheid op te lossen en te voorkomen dat de kwetsbaarheden misbruikt worden door derden. Meldingen van kwetsbaarheden dragen bij aan de veiligheid en continuïteit van ICT-systemen. Enerzijds door kwetsbaarheden te verhelpen, anderzijds doordat het bijdraagt aan het algemene ICT-veiligheidsbewustzijn van organisaties binnen en buiten Nederland.

Beleid Openbaar Ministerie 

Het Openbaar Ministerie vindt het belangrijk dat ethische hackers kwetsbaarheden kunnen blijven zoeken en melden zodat ICT-systemen veiliger kunnen worden gemaakt. We stimuleren organisaties om beleid over het melden van kwetsbaarheden in hun ICT-systemen vast te stellen in CVD beleid.

Het Openbaar Ministerie verwacht van ethische hackers dat zij zich in het CVD-beleid van een organisatie hebben verdiept of de ‘Leidraad Coordinated Vulnerability Disclosure’ van het Nationaal Cyber Security Centrum hebben geraadpleegd voordat zij starten met zoeken naar en melden van kwetsbaarheden.

Als aangifte wordt gedaan van het handelen van een ethische hacker door een organisatie die geen CVD beleid heeft, is dat voor het Openbaar Ministerie geen reden de ethische hacker direct als verdachte aan te merken. Er kan wel een onderzoek in worden gesteld om te kijken of er inderdaad sprake was van ethisch hacken. Bij de beoordeling om vervolging in te stellen tegen een ethisch hacker, zal de bijdrage die CVD levert aan een veilige digitale wereld zwaar wegen. 

Uitgangspunten

Als een ethische hacker een kwetsbaarheid vindt in het ICT-systeem van een organisatie en dit meldt aan de desbetreffende organisatie, dan wordt er in principe geen strafrechtelijk onderzoek ingesteld.

De officier van justitie zal om te bepalen of sprake is van CVD / ethisch hacken, drie factoren beoordelen:

  • Is er gehandeld in het kader van een wezenlijk maatschappelijk belang?
  • Is er sprake van proportioneel handelen (of wel: ging de hacker niet verder dan noodzakelijk was om zijn doel te bereiken)?
  • Is er voldaan aan het subsidiariteitsvereiste (of wel: was/waren er geen minder vergaande manier(en) om het door de hacker beoogde doel te bereiken)?