Back to top

‘Ethisch hacken’, de oplossing?

Cybercrime is booming
Cybercriminaliteit is het meest voorkomende type economische misdrijf waarmee de ondernemingen in België geconfronteerd worden. Dat blijkt uit de recente Global Economic Crime Survey van PwC. Ze ondervroegen hiervoor wereldwijd 6.337 ondernemingen uit 115 verschillenden landen. In België namen 58 bedrijven deel aan het onderzoek. 
In totaal geeft 45 procent van de Belgische ondernemingen aan de voorbije twee jaar met economische misdrijven geconfronteerd te zijn. België scoort daarmee iets slechter dan het mondiale gemiddelde van 36 procent. Opvallend is wel dat het in 65 procent van de gemelde misdrijven in België gaat om cybercriminaliteit, dat daarmee voor het eerst het meest voorkomende economische misdrijf is bij bedrijven. Bij het vorige onderzoek stond het verduisteren van bedrijfsactiva nog op kop. In België ligt het aandeel van cybercriminaliteit daarmee dubbel zo hoog als het wereldwijde gemiddelde van 32 procent.
De meeste Belgische bedrijven lijken zich ook bewust van de dreiging. Driekwart van de Belgische deelnemers aan het onderzoek zegt een toenemend gevaar vanuit die hoek te zien. Maar toch beschikt 35 procent niet over een plan om met cybercriminaliteit om te gaan. En twaalf procent is zelfs van mening dat zo'n plan helemaal niet nodig is.

Ethisch hacken?
Bij cybercriminaliteit denken we in de eerste plaats aan ‘hacking’. De Belgische justitie omschrijft hacking erg breed als het ongeoorloofd binnendringen in een computersysteem. Ook onopzettelijk een verbinding tot stand brengen en die verbinding vrijwillig behouden, wordt als hacking beschouwd. Of het informaticasysteem al dan niet beveiligd is, doet niet ter zake. Hacking is steeds strafbaar. Bij de beoordeling van hacking maakt de wet wel een onderscheid tussen interne hackers (insiders) en externe hackers (outsiders). Insiders zijn personen die wel een bepaalde toegangsbevoegdheid hebben tot een bepaald systeem, maar die bevoegdheid overschrijden. Zij zijn alleen strafbaar als ze hacken om schade toe te brengen of met bedrieglijk opzet. Deze beperking geldt niet voor outsiders: zij zijn altijd strafbaar, ook al kraken ze een systeem 'met goede bedoelingen'.
Maar in dat laatste zou wel eens verandering kunnen komen. De wetgeving zelf wordt niet gewijzigd. Wel komt er in opdracht van minister Geens een standaardverklaring van het Centrum voor Cybersecurity (het CCB) die bedrijven op hun website kunnen zetten. Met die responsible disclosure geven ze toestemming aan hackers om volgens die expliciete richtlijn aan het werk te gaan. De tekst zou er komen in de talen van de website en in het Engels. De tekst is klaar en wordt in de komende weken nagekeken door de FOD Justitie. Eens dat achter de rug is, kan het CCB een standaard mededeling verspreiden en mogen bedrijven en organisaties ze gebruiken om zich open te stellen voor ethisch hacken.
Dat is goed nieuws voor de studierichting Toegepaste Informatica van de Howest (Hogeschool West-Vlaanderen).  Van de 270 eerstejaars kiezen er 200 voor het traject Computer en Cybercrime Professional. Jaarlijks 200 studenten die willen hacken zeg maar. Docent Kurt Callewaert heeft met de Howest intussen met Hackmysite.be zelf een initiatief op poten gezet. Hier kunnen bedrijven zich aanmelden en akkoord gaan dat studenten proberen veiligheidslekken te vinden. Hackmysite.be  staat klaar maar is nog niet officieel gelanceerd omdat de studenten momenteel nog vervolging riskeren. De docent informatica ziet een wettelijk kader voor ethisch hacken als een win-win: "Als je ziet hoe vaak Facebook en Google premies betalen voor gevonden lekken, dan wil je niet weten wat er bij bedrijven in ons land kan schelen. Met een wettelijk kader krijg je meteen een pak meer middelen en mensen op de markt en wij krijgen betere afgestudeerden."

En de professionals?
Uiteraard is white hacking niet alleen het werk van studenten en IT-hobbyisten. Ook de professionele IT-bedrijven hacken in opdracht. Data Unit is een van die bedrijven die zich onder meer focussen op data en netwerk security. Christophe Strauven, sales director Data Unit : “Bedrijfsdata zijn cruciaal, vaak vertrouwelijk en onderhevig aan de privacy wetgeving. Data security is dus een must. Data Unit werkte twee security-audits uit die bedrijven snel een goed inzicht geven in het veiligheidsniveau van het netwerk. We gaan op zoek naar de achterpoortjes en zorgen ervoor dat die zo snel mogelijk hermetisch gesloten worden. Een security audit heeft heel wat voordelen. Onze klanten krijgen snel een goed inzicht in het beveiligingsniveau van uw netwerk en door de mapping van de vulnerabilities weten ze waar ze moeten ingrijpen. Onze remediëringsaanbevelingen geven duidelijk aan hoe ze de veiligheidsrisico’s tot een minimum kunnen beperken. Ook belangrijk is de compliance met de Europese regelgeving die een datalek meldplicht voorziet. In Nederland is deze richtlijn reeds omgezet in dwingende wetgeving. België zal spoedig volgen. We stellen onze klanten twee mogelijkheden voor: een vulnerability assessment of penetration testing. Een vulnerability assessment is vaak de eerste stap naar een betere databeveiliging. Een gesofisticeerd softwareprogramma analyseert het veiligheidsniveau van het netwerk en detecteert precies waar er mogelijke lekken zitten. Het proces op zich verloopt vrij geautomatiseerd maar de interpretatie van de testgegevens vereist de nodige technische vakkennis. Het resultaat van deze analyse is een advies. Waar ontdekten we knipperlichten en waar is er rood alarm? Kortom, wat kan er beter en waar moeten dringend de nodige upgrades geïnstalleerd worden. Een vulnerability assessment is vaak de eerste stap naar een betere databeveiliging. Penetration testing gaat een stap verder dan een vulnerability assessment en is in vele gevallen de tweede stap. Bij deze methode sporen we niet alleen de veiligheidshiaten op, maar testen we effectief hoe ver een hacker via deze hiaten in het netwerk kan doordringen, vaak zelfs zonder sporen na te laten. Succesvolle black hat penetrations doorlopen doorgaans vijf fases: verkenning, scanning, toegang krijgen, die toegang vasthouden en het wissen van mogelijke sporen. Onze white hat aanpak volgt dezelfde strategie. Je moet je vijand kennen om je optimaal te kunnen verdedigen. Penetration testing vergt wel een goede voorbereiding en een gedisciplineerde aanpak. De risico’s bij een vulnerability assessment zijn quasi nihil. Bij een white hat attack is het risico niet denkbeeldig dat een netwerk geheel of gedeeltelijk plat gaat. En als het de bedoeling van de penetration test is om bijvoorbeeld het e-mailverkeer van de CEO te onderscheppen, kan je hem best even op voorhand waarschuwen …” 

Afronden doen we met een citaat van Sun-Tzu uit ‘De kunst van het oorlogvoeren’, 500 voor Christus: “What enables the enlightened rulers and good generals to conquer the enemy at every move and achieve extraordinary success is foreknowledge”. 
 

Wil je als eerste alle nieuwtjes over Pubmarket! weten?

Goed idee. Wij sturen regelmatig een nieuwsbrief uit. Schrijf je hier in!

Lees ook volgende artikels

Hoera, Pubmarket! heeft er een zusje bij. Different View van Mario Bakker uit Almere gaat vanaf nu verder als Pubmarket! Wat verandert is de naam, wat blijft is het vertrouwde creatieve team.

Blogartikel communicatiebureau Pubmarket! breidt uit naar Nederland.

Communicatiebureau Pubmarket! heeft een participatie genomen in het Nederlandse bureau Meijer-HWK Marketingcommunicatie dat voortaan verder gaat onder de naam "Pubmarket!".

Blogartikel "Social media keeps on growing".

Facebook is veruit het populairste sociale medium van België. Naast Facebook is ook Instagram, Snapchat en Pinterest zeer populair door hun visuele karakter!