De titel ‘ethisch hacker’ is eigenlijk heel raar. De toevoeging van het woord 'ethisch' maakt het verschil tussen een carrière of een gevangenisstraf. Dat vertelt Inti De Ceukelaire, medeoprichter van Intigriti en IT Person of the Year van Computable in 2020, tijdens het online-event Infosecurity.be, Data & Cloud Expo. In zijn sessie stelt hij dan ook voor om een definitie voor een (ethische) hacker te formuleren.
Om antwoord te geven op de vraag wanneer je ethisch verantwoord bezig bent of niet, haalt De Ceukelaire de definitie aan van een hacker. Wikipedia omschrijft ‘hacker’ als iemand die het leuk vindt om (intellectuele) beperkingen te omzeilen (a person that enjoys the (intellectual) challenge of (creatively) overcoming or circumventing limitation). ‘Er staat dus niks in over criminele intenties. Je kunt dus beter de ethische hackers simpelweg hackers noemen en de misdadigers juist labelen tot malafide hacker’, pleit hij. Nu moet hij nog te vaak uitleggen dat hij met zijn werk, waarbij hij kwetsbaarheden opzoekt en bedrijven hierover inlicht, geen slechterik is.
Vaak wordt een (ethische) hacker gezien als iemand met een masker op of met een hoodie aan achter zijn computer. ‘Een stereotype dat zeker niet waar is’, benadrukt hij. ‘Neem mijn vriendin. Zij ontdekte laatst per toeval een datalek toen zij een online-bestelling had gedaan. Zij typte per ongeluk het verkeerde factuurnummer in de url-balk en kreeg zo toegang tot andermans factuur, inclusief de bijbehorende persoonsgegevens. Is mijn vriendin nu een ethische hacker?’
Stel een beleid op!
‘Er is geen definitie voor een (ethische) hacker’, concludeert De Ceukelaire. Hij adviseert bedrijven om hier zelf een omschrijving voor op te stellen. Maak een beleid voor (ethische) hackers, drukt hij iedereen op het hart. ‘Dat beleid moet onder andere contactgegevens bevatten. Bij mijn vriendin duurde het bijvoorbeeld maar liefst elf dagen tot we de juiste persoon binnen de organisatie te pakken hadden.’
Verder moet een bedrijf in het beleid formuleren wat er is toegestaan en wanneer het als een criminele activiteit wordt gezien. ‘Dit kan bij meldingen geen discussie meer opleveren of iets gepermitteerd is of niet.’ In het verlengde van het voorkomen van discussies, adviseert De Ceukelaire om de hoogte van eventuele beloningen in het beleid op te nemen. ‘Meldt het dus ook gerust als er géén beloning tegenover staat.’ Tot slot moet er gemeld worden binnen hoeveel dagen iemand een reactie kan ontvangen.
Zo’n beleid opstellen hoeft geen tijdrovende of dure klus te zijn. Security.txt is een gratis tool waarmee je dit binnen vijf minuten kan opstellen en publiceren.
