Ny belgisk lov beskytter etiske hackere: - Norge bør følge etter

- Har vært skummelt med mumling om vilkårsbrudd og advokater, sier norsk dusørjeger.

Slik Roy Solberg oppfatter regelverket fra Belgia så får man her ryddige og trygge rammer for alle involverte parter. 📸: Privat
Slik Roy Solberg oppfatter regelverket fra Belgia så får man her ryddige og trygge rammer for alle involverte parter. 📸: Privat Vis mer

Den norske jussen rundt etisk hacking er ikke nødvendigvis lett å forstå seg på.

Belgia har blitt det første europeiske landet til å innføre et nasjonalt "trygg havn"-lovverk for etiske hackere, ifølge landets nasjonale cybersikkerhetsorgan, skriver Portswigger.

Det nasjonale belgiske senteret for cybersikkerhet (CCB) annonserte forrige uke det nye lovverket, som beskytter individer eller organisasjoner fra rettsforfølgelse når de rapporter sårbarheter som påvirker systemer, nettverk og applikasjoner i Belgia.

Loven, som skal ha blitt iverksatt den 15. februar, gjelder uansett om de sårbare teknologiene er eid av private eller offentlige organisasjoner.

- Det er definitivt noe vi i Norge bør implementere, også, sier Roy Solberg, apputvikler og dusørjeger, til kode24.

«Det der er noe jeg virkelig applauderer.»

Viktige betingelser

Ifølge prosedyren som er lagt fram i landets retningslinjer for ansvarlig sårbarhetsrapportering (CVDP), kan CCB motta rapporter om sårbarheter på vegne av andre.

Dette gir etiske hackere en juridisk beskyttelse så lenge disse betingelsene er overholdt:

  • At eieren av den sårbare teknologien varsles så snart som mulig og minst samtidig med CCB.
  • At det blir sendt inn en skriftlig sårbarhetsrapport til CCB så snart som mulig i det foreskrevne formatet.
  • At det ikke handles med uredelig hensikt eller intensjon om å skade
  • At det handles på en nødvendig og forholdsmessig måte for å demonstrere eksistensen av en sårbarhet.
  • At det ikke offentliggjøres informasjon om sårbarheten og sårbare systemer uten CCBs samtykke

Kjempegode nyheter

Ifølge Portswigger har CCB egne retningslinjer som ble vedtatt i 2020, som oppfordrer organisasjoner i Belgia til å få retningslinjer for ansvarlig sårbarhetsrapportering eller et eget bug bounty-program.

Ifølge de nye retningslinjene trenger ikke etiske hackere melde inn til CCB dersom organisasjonen allerede har på plass retningslinjer for ansvarlig sårbarhetsrapportering.

- Det der er noe jeg virkelig applauderer. Jeg synes det er kjempegode nyheter, sier Solberg om det belgiske regelverket.

Har vært skumle episoder

Solberg viser til at han selv har sjekket tjenester på nett for sårbarheter - spesielt dem som han selv skal benytte seg av.

- Og jeg fant jo ut at det stort sett står dårlig til alle steder. Alle kunne se når jeg sjekket inn på treningssenteret, om jeg brukte strøm hjemme, når jeg parkerte bilen min, eller laste ned alle persondata om ungen og spore ham via GPS-klokke, sier han.

Solberg sier at han alltid har hatt gode intensjoner når han har sjekket og meldt ifra om problemer.

- Men det har også vært skummelt som en privatperson når jeg har møtt mumling om brudd på brukervilkår og advokater. Heldigvis har dere i kode24 også hatt fokus på dette tidligere

Får ryddige rammer

Solberg forteller at han siden 2017 har blitt kontaktet av en del personer som har funnet sikkerhetshull og som har ønsket råd for å melde dem inn på en god og trygg måte.

- Slik jeg oppfatter regelverket fra Belgia så får man her ryddige og trygge rammer for alle involverte parter. Det er ingen tvil om at også norske bedrifter og organisasjoner trenger hjelp når det kommer til datasikkerhet, sier han.

Solberg legger til at hvis dette gjør at man får rapportert og fikset flere sikkerhetshull, så er det bare bra.

- Dette ble også en påminnelse om at jeg har noen titalls funn av sikkerhetshull jeg aldri har rukket å skrive en post om.