Ga direct naar inhoud

Zelf fouten in ICT-systemen zoeken

Een kwetsbaarheid zoeken

Wat mag wel en wat mag niet?

Het zoeken naar bugs, lekken of een ander type kwetsbaarheid in het  ICT-systeem van iemand anders is niet zomaar toegestaan. Natuurlijk kun je spontaan een kwetsbaarheid tegenkomen zonder dat je er naar op zoek was, maar het actief doen van pen-testen op een ICT-systeem van een ander is niet toegestaan, tenzij de eigenaar van het systeem je uitdrukkelijk toestemming heeft gegeven. Denk aan een (ethisch) hacker die wordt ingehuurd door een bedrijf om een nieuw ICT-systeem te testen.

Wel hebben sommige organisaties en bedrijven een Coordinated Vulnerability Disclosure (CVD) of Responsible Disclosure (RD) beleid. Met dit beleid geeft een organisatie aan dat ze open staan voor informatie over kwetsbaarheden in hun eigen systeem. Het is bedoeld om uitleg te geven aan mensen die graag op eigen initiatief willen bijdragen aan veilige ICT-systemen en daarmee onze samenleving.

Hoe werkt Coordinated Vulnerability Disclosure of Responsible Disclosure beleid?

De organisatie vermeldt in haar CVD of RD beleid over welke ICT systemen meldingen gedaan kunnen worden, welke onderzoeksmethoden je mag gebruiken om kwetsbaarheden te vinden en hoe je een melding moet doen als je een kwetsbaarheid hebt gevonden. In het beleid kun je ook lezen binnen hoeveel tijd de organisatie het probleem dat je hebt gemeld gaat verhelpen. Dat betekent dat je de organisatie dan ook die tijd moet geven om een oplossing te ontwerpen en je ontdekking niet bekend mag maken. Sommige methoden zijn zelden geoorloofd, denk aan een brute force aanval. Zorg altijd dat je niet verder gaat dan wat redelijk en noodzakelijk is.

Strafbaarheid

Als je je aan het CVD of RD beleid houdt zal een organisatie in principe geen aangifte doen of andere juridische stappen tegen je ondernemen. Mocht een organisatie dit toch doen, dan stellen Politie en het Openbaar Ministerie in principe niet direct een strafrechtelijk onderzoek in, mits je je aantoonbaar hebt gehouden aan de regels uit het CVD of RD beleid van de organisatie. Het is daarom handig om al je stappen bij te houden in een logbestand.

Als het Openbaar Ministerie aanwijzingen heeft dat je je bewust of onbewust niet aan het CVD of RD beleid hebt gehouden dan kan er een onderzoek worden ingesteld. Op basis van dit onderzoek kan het Openbaar Ministerie besluiten om wel of niet tot strafvervolging over te gaan. Zie Richtlijn voor strafvordering cybercrime.

Het Coordinated Vulnerability Disclosure of Responsible Disclosure beleid kun je vaak vinden op de website van een organisatie.

Een kwetsbaarheid melden

Vind je een bug, een lek of een ander type kwetsbaarheid in een ICT-systeem van een organisatie, dan wil je dat melden zodat de organisatie het systeem kan herstellen. Ook voor het melden gelden regels.

Regels voor het melden

Voorop staat dat je de kwetsbaarheid altijd eerst meldt bij de eigenaar van het systeem. Doe dit vertrouwelijk, voorkom dat anderen ook toegang krijgen tot informatie over de kwetsbaarheid. Daarnaast mag je het onthullen van informatie niet laten afhangen van een (financiële) beloning. Dus ook als je geen geld krijgt moet je de vertrouwelijkheid respecteren. Tot slot gaat het eventueel openbaar maken van de kwetsbaarheid altijd alleen in samenspraak met de organisatie zelf.

Organisaties met Coordinated Vulnerability Disclosure of Responsible Disclosure beleidhebben vaak eigen regels rondom het melden. Het is je eigen verantwoordelijkheid om op de hoogte te zijn van alle voorwaarden die een organisatie in dit beleid stelt aan het zoeken en melden van een kwetsbaarheid.

Kwetsbaarheid raakt meerdere systemen

Raakt een kwetsbaarheid meerdere systemen of is het een vitaal systeem, zoals een drinkwatervoorziening of een elektriciteitsnetwerk, dan kun je contact opnemen met het Nationaal Cyber Security Centrum (NCSC). Zij kunnen je helpen met het contacteren van betrokken organisaties.

Geen reactie?

Sommige organisaties houden je op de hoogte van de voortgang van je melding, andere organisaties laten weinig tot niks horen. Dit betekent niet dat er achter de schermen ook niks gebeurt. Bij twijfel kan het NCSC altijd met je meedenken of namens jou contact opnemen met de organisatie.

Het kan voorkomen dat een kwetsbaarheid niet of moeilijk op te lossen is, of dat het oplossen hoge kosten met zich meebrengt. In deze gevallen kan de organisatie besluiten de kwetsbaarheid als geaccepteerd risico te beschouwen en niet te verhelpen. Dit betekent niet dat je melding voor niets is geweest, de organisatie kan het risico nu in ieder geval monitoren. Je mag de kwetsbaarheid dan wel publiek maken.

Oktober 2018