Coordinated Vulnerability Disclosure / ethisch hacken
Coordinated Vulnerability Disclosure is het op een verantwoorde wijze en in gezamenlijkheid tussen melder (de ethische hacker) en organisatie openbaar maken van kwetsbaarheden in de ICT-systemen van die organisatie. Iedereen kan een kwetsbaarheid melden bij een bedrijf, overheidsinstantie of andere organisatie.
Personen die dergelijke kwetsbaarheden zoeken worden ook wel ethische hackers genoemd. Na een melding heeft de organisatie de gelegenheid om de kwetsbaarheid op te lossen en te voorkomen dat de kwetsbaarheden misbruikt worden door derden. Meldingen van kwetsbaarheden dragen bij aan de veiligheid en continuïteit van ICT-systemen. Enerzijds door kwetsbaarheden te verhelpen, anderzijds doordat het bijdraagt aan het algemene ICT-veiligheidsbewustzijn van organisaties binnen en buiten Nederland.
Beleid Openbaar Ministerie
Het Openbaar Ministerie vindt het belangrijk dat ethische hackers kwetsbaarheden kunnen blijven zoeken en melden zodat ICT-systemen veiliger kunnen worden gemaakt. We stimuleren organisaties om beleid over het melden van kwetsbaarheden in hun ICT-systemen vast te stellen in CVD beleid.
Het Openbaar Ministerie verwacht van ethische hackers dat zij zich in het CVD-beleid van een organisatie hebben verdiept of de ‘Leidraad Coordinated Vulnerability Disclosure’ van het Nationaal Cyber Security Centrum hebben geraadpleegd voordat zij starten met zoeken naar en melden van kwetsbaarheden.
Als aangifte wordt gedaan van het handelen van een ethische hacker door een organisatie die geen CVD beleid heeft, is dat voor het Openbaar Ministerie geen reden de ethische hacker direct als verdachte aan te merken. Er kan wel een onderzoek in worden gesteld om te kijken of er inderdaad sprake was van ethisch hacken. Bij de beoordeling om vervolging in te stellen tegen een ethisch hacker, zal de bijdrage die CVD levert aan een veilige digitale wereld zwaar wegen.
Uitgangspunten
Als een ethische hacker een kwetsbaarheid vindt in het ICT-systeem van een organisatie en dit meldt aan de desbetreffende organisatie, dan wordt er in principe geen strafrechtelijk onderzoek ingesteld.
De officier van justitie zal om te bepalen of sprake is van CVD / ethisch hacken, drie factoren beoordelen:
- Is er gehandeld in het kader van een wezenlijk maatschappelijk belang?
- Is er sprake van proportioneel handelen (of wel: ging de hacker niet verder dan noodzakelijk was om zijn doel te bereiken)?
- Is er voldaan aan het subsidiariteitsvereiste (of wel: was/waren er geen minder vergaande manier(en) om het door de hacker beoogde doel te bereiken)?
Meer weten?
-
OM-beleidsbrief ethisch hacken
Het Openbaar Ministerie heeft in december 2020 de OM-beleidsbrief over ethisch hacken vernieuwd. De brief is bedoeld om ...
-
Jurisprudentie en praktijkvoorbeelden bij de OM-beleidsbrief Coordinated Vulnerability Disclosure december 2020
Jurisprudentie en praktijkvoorbeelden bij de OM-beleidsbrief Coordinated Vulnerability Disclosure december 2020.
-
Coordinated Vulnerability Disclosure: de leidraad
Het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid heeft in oktober 2018 de ‘Leidraad Coordinated ...