‘Koude Cyberoorlog’, ‘Tax-on-web slachtoffer van cyberaanval’, ‘Account van Twitterbaas gehackt’, ‘Bitcoin crasht na miljoenenroof’, ‘Cybercriminaliteit in België piekt’. Aan de krantenkoppen van juli en augustus te zien hebben hackers de grote vakantie niet gerespecteerd. Gelukkig is er hoop in de cyberwereld. Vooralsnog illegale hoop weliswaar.

Meneer Bedaux, uw kredietkaart is gisterenavond gebruikt in een Zwitsers hotel en in een nabijgelegen bar, samen voor ongeveer 4000 euro. Was u dat ?”

Het telefoontje van de American Express-medewerker – nu alweer twee maanden geleden – lokte ongeloof uit. Terwijl ik mijn moestuintje op de Antwerpse Linkeroever aanlegde, waren mijn kaartgegevens gestolen. Maar hoe ? “Hackers”, vermoedde de weinig spraakzame medewerker. Dat de bar in Zwitserland een stripclub bleek te zijn, maakte de gegevensdiefstal nog enigszins komisch, maar het kwaad – mijn gekelderde vertrouwen in de online veiligheid van mijn betaalkaarten – was geschied.

GRIJZE JURIDISCHE ZONE

“Het probleem van hacking wordt alsmaar groter”, weet Kurt Callewaert, die op zijn visitekaartje Computer & Cyber Crime Professional mag zetten, naast lector Toegepaste Informatica aan de Hogeschool West-Vlaanderen (Howest). Die hogeschool is de enige onderwijsinstelling in Vlaanderen die de opleiding Computer and Cyber Crime Professional aanbiedt en in de praktijk ook ‘ethische hackers’ opleidt. Dat zijn computerspecialisten die met goede bedoelingen op zoek gaan naar lekken en kwetsbaarheden in informaticasystemen, databases en websites. In ruil voor een kleine vergoeding of gewoon voor de eer brengen ze bedrijven op de hoogte van die lekken. Op die manier kunnen de ‘getroffen’ bedrijven zich gaan beschermen tegen echte hackers met minder goede bedoelingen. “Ethisch hacken is met andere woorden een goede zaak. Het grote probleem is dat de Belgische wetgever zo conservatief denkt over dit fenomeen. Onze studenten hebben al internationale bedrijven als Facebook, LinkedIn en Alibaba weten te hacken en werden daarvoor geprezen, en in sommige gevallen zelfs beloond. Maar als ze dat bij een Belgische onderneming proberen, riskeren ze tot 2 jaar cel en 24.000 euro boete. Die houding is erg jammer, want de computersystemen van heel wat Belgische bedrijven – en dan vooral kmo’s – zijn zo lek als een zeef.”

Een van de weinige Belgische hackers die openlijk durft te spreken over zijn hobby, is Aalstenaar Inti De Ceukelaire (21). Hij was pas 15 jaar oud toen hij de update van zijn playstation hackte, en is als ethisch hacker ondertussen opgenomen in de halls of fame van Google en Facebook. Nu werkt hij als ‘digital creative’ bij de VRT, maar hackte vorig jaar zijn weg naar een job bij operator Mobile Vikings waar hij een programma hielp opstarten om ethische hackers aan te trekken. “De meeste ethische hackers lopen niet te koop met hun hobby omdat ze vrezen voor vervolging, maar ik wil het bewust onder de aandacht brengen omdat ethische hackers niet zo slecht zijn als veel mensen vrezen. Sterker nog : we gaan ze hard nodig hebben in de toekomst. In het buitenland hebben ze dat al lang begrepen. Bedrijven als Facebook en Google verwelkomen ethische hackers en bieden geldprijzen voor hacks. Er bestaan zelfs prijslijsten voor. Zo kun je bij Google tot 150.000 euro krijgen voor een bepaalde hack, maar meestal gaat het om een bedrag tot 10.000 euro. Een fantastisch signaal naar de buitenwereld, want zo geven die bedrijven toe dat zelfs hun beste deskundigen fouten kunnen maken. Bovendien is zo’n beloning een stimulans: hackers met slechte bedoelingen lopen misschien wel over naar de goede kant als er als ethisch hacker ook geld verdiend kan worden. Het zal nooit zoveel zijn als echte hackers verdienen, maar ze lopen dan ook niet het risico om opgepakt te worden.” Dat risico loop je als hacker – ook als ethisch hacker – in België wel. “Als je in Nederland de website van de belastingdienst weet te hacken, krijg je een T-shirt met als opschrift I hacked my government, but all I got is this lousy T-shirt“, weet Inti. “In ons land krijg je een pv en een ticket naar de gevangenis. Zonde, die houding. Veel Belgische bedrijven willen zich graag laten hacken, maar beginnen er niet aan omdat het wettelijk zo’n grijze zone is. En zo gebeurt het dat je veiligheidslekken vindt bij Belgische bedrijven, maar dat je die niet meldt omdat je ervoor opgepakt kunt worden.”

GEEN VER-VAN-JE-BEDSHOW

De federale overheid is zich bewust van de situatie en heeft vorig jaar het Centrum voor Cybersecurity België (CCB) geopend. “Maar daar denken ze ook nog te conservatief”, stipt Kurt Callewaert aan. “De politiediensten en de CCB zijn van mening dat wanneer een hacker een systeem aanvalt – of het nu met goede bedoelingen is of niet – dat systeem schade kan ondervinden of kan uitvallen. De politie zou in dat geval meer werk hebben met ethische hackers. Dat is hun bezorgdheid. Ik vind dat onterecht. Mijn voorstel is om bedrijven zelf te laten kiezen of ze ethisch gehackt willen worden. Bij de Howest hebben we een platform (HackMySite, nvdr) op poten gezet waarop bedrijven zich kunnen aanmelden als ze interesse hebben. Willen ze niet gehackt worden, dan hoeven ze zich uiteraard niet in te schrijven. Dat lijkt mij een goede tussenoplossing. Maar voorlopig mogen we met dat platform nog niet naar buiten komen, omdat er een zweem van illegaliteit rondhangt. Jammer. Bij het CCB wachten ze op Europese regelgeving omtrent ethisch hacken. Die zou er over een paar maanden moeten zijn. Maar je weet hoe lang het soms kan duren in Europa. Ondertussen verliezen we alleen maar tijd. Nu al is er veel te weinig cyber-securitypersoneel in België (3000 tegenover 48.000 in Nederland). Als we ethische hackers meteen aan de slag kunnen laten gaan, kunnen we heel wat systemen al beveiligen. En denk niet dat het probleem een ver-van-mijn-bedshow is ! De laatste weken hebben hackers een ziekenhuis en een secundaire school, allebei in West-Vlaanderen, aangevallen. Ze zetten dan een sleutel op alle gegevens (ransomware, nvdr) en vragen bijvoorbeeld 500 euro voor die sleutel. De kmo die daar het slachtoffer van is, betaalt in veel gevallen dat geld, zodat het niet in de pers komt en er geen imagoschade optreedt. Maar het is wel degelijk een realiteit. Van Belgische bankrekeningen zijn er ook al een paar miljoen euro verdwenen. En het probleem wordt er niet kleiner op. Er is nu zelfs een nieuw probleem ontstaan bij productiebedrijven. Zij gebruiken zogeheten PLC’s om hun productie aan te sturen. Tegenwoordig worden die PLC’s gekoppeld aan een netwerk, zodat onderhoudstechnici ze ook van thuis uit in de gaten kunnen houden. Maar die PLC’s zijn ook al zo lek als een zeef. Als hackers daar ooit op uitkomen, kunnen ze heel wat schade aanrichten.”

WEDSTRIJD ETHISCH HACKEN

Ook Jong VLD dringt al langer aan op een juridisch kader voor ethische hackers. “Een eerste stap is het opstellen van richtlijnen omtrent ethisch hacken. Dit naar het voorbeeld van Nederland, waar er een ‘Leidraad responsible disclosure’ bestaat. Dankzij die richtlijnen kunnen bedrijven een beleid opzetten om ethisch hacken toe te laten”, zo klinkt het bij de jonge liberalen. “De richtlijnen zouden een goede stap zijn, al lossen ze het juridisch vacuüm niet op. Maak daarom ethisch hacken niet langer strafbaar. Wij pleiten ervoor om in het strafwetboek gevallen van ethische hacking zonder kwaadwillig opzet expliciet uit te sluiten van strafrechtelijke vervolging.” Jong VLD wil zelfs dat de overheid wedstrijden organiseert om ethisch hacken actief aan te moedigen, met een beloning voor wie bijvoorbeeld lekken op Tax-on-web vindt.

In afwachting van een beslissing van de overheid en van het CCB, hebben bepaalde instellingen en bedrijven in België zelf de grijze juridische zone opgezocht. Op aandringen van de Nationale Bank namen Belgische grootbanken ethische hackers onder de arm om ‘vriendelijke aanvallen’ uit te voeren op hun systemen. In België is ook telecombedrijf Mobile Vikings een van de voortrekkers van een nauwe samenwerking met ethische hackers. Het bedrijf voorzag al begin 2015 een kader voor hackers met goede bedoelingen. “Stropers zijn nog altijd de beste boswachters, en dat geldt zeker voor de digitale jungle van het internet”, aldus CTO (Chief Technology Officer) Kris Steegmans. “Wij maken gebruik van het HackerOne-programma, waarin hackers van over de hele wereld hun talent kunnen loslaten op een stuk van ons ICT-systeem. Die ethische hackers werken samen met onze eigen technici om de bugs op te sporen en te verzegelen. Perfect beveiligde systemen bestaan helaas niet, maar we willen er wel maximaal naar streven en innovatie staat daarbij centraal.” Het hacken gebeurt binnen de live omgeving van het systeem, maar er zijn strenge regels aan verbonden. Zo vraagt Mobile Vikings om de privacy van de klanten niet te schenden, de systemen niet offline te halen en ze te allen tijde functioneel te houden.

Voor Mobile Vikings is het ontbreken van een juridisch kader in België vreemd genoeg niet zo’n probleem. “Wij beseffen heel goed wat die hackers voor ons betekenen en zouden ze nooit aanklagen als ze zich aan bepaalde richtlijnen houden, zoals die ook voorzien zijn in Nederland, zelfs al doen ze in principe iets strafbaars. Ik denk dat hackers dat ook wel aanvoelen en zich daardoor dus niet laten tegenhouden. Het probleem is volgens mij groter bij websites van andere bedrijven of de overheid, die minder openstaan tegenover dergelijke initiatieven. Ik kan me voorstellen dat zo’n hacker niet elke website durft aan te pakken als het risico bestaat dat hij gerechtelijk zal vervolgd worden, ook al heeft hij alleen maar goede bedoelingen. En uiteindelijk lijdt de consument daar potentieel onder. Maar eigenlijk hoef je je als bedrijf absoluut niet te verschuilen achter het uitblijven van een wettelijk kader.” Dat beaamt ook professor Jos Dumortier, een internationaal gerenommeerd expert in privacy- en ICT-recht. “Er is niks dat een bedrijf belet een overeenkomst met hackers te sluiten om een veiligheidssysteem te testen. Maar als er geen overeenkomst is en een ethisch hacker dringt toch een systeem binnen met de bedoeling om fouten in dat systeem recht te zetten, zou het goed kunnen dat de rechter oordeelt dat er een zogenaamde rechtvaardigingsgrond is. Je mocht dan wel niet binnendringen, maar een bestraffing is in zo’n geval niet automatisch het resultaat.”

Tekst Sebastiaan Bedaux

” Heel wat Belgische bedrijven zijn zo lek als een zeef ”

” Bedrijven als Facebook en Google bieden geldprijzen voor hacks. Bij Google kun je tot 150.000 euro krijgen ”