Wanneer ben je een (ethisch) hacker?

Inti De Ceukelaire beantwoordt deze vraag tijdens Infosecurity.be, Data & Cloud Expo

Dit artikel delen:

De titel ‘ethisch hacker’ is eigenlijk heel raar. De toevoeging van het woord 'ethisch' maakt het verschil tussen een carrière of een gevangenisstraf. Dat vertelt Inti De Ceukelaire, medeoprichter van Intigriti en IT Person of the Year van Computable in 2020, tijdens het online-event Infosecurity.be, Data & Cloud Expo. In zijn sessie stelt hij dan ook voor om een definitie voor een (ethische) hacker te formuleren.

Om antwoord te geven op de vraag wanneer je ethisch verantwoord bezig bent of niet, haalt De Ceukelaire de definitie aan van een hacker. Wikipedia omschrijft 'hacker' als iemand die het leuk vindt om (intellectuele) beperkingen te omzeilen (a person that enjoys the (intellectual) challenge of (creatively) overcoming or circumventing limitation). ‘Er staat dus niks in over criminele intenties. Je kunt dus beter de ethische hackers simpelweg hackers noemen en de misdadigers juist labelen tot malafide hacker’, pleit hij. Nu moet hij nog te vaak uitleggen dat hij met zijn werk, waarbij hij kwetsbaarheden opzoekt en bedrijven hierover inlicht, geen slechterik is.

Vaak wordt een (ethische) hacker gezien als iemand met een masker op of met een hoodie aan achter zijn computer. ‘Een stereotype dat zeker niet waar is’, benadrukt hij. ‘Neem mijn vriendin. Zij ontdekte laatst per toeval een datalek toen zij een online-bestelling had gedaan. Zij typte per ongeluk het verkeerde factuurnummer in de url-balk en kreeg zo toegang tot andermans factuur, inclusief de bijbehorende persoonsgegevens. Is mijn vriendin nu een ethische hacker?’

Stel een beleid op!

‘Er is geen definitie voor een (ethische) hacker’, concludeert De Ceukelaire. Hij adviseert bedrijven om hier zelf een omschrijving voor op te stellen. Maak een beleid voor (ethische) hackers, drukt hij iedereen op het hart. 'Dat beleid moet onder andere contactgegevens bevatten. Bij mijn vriendin duurde het bijvoorbeeld maar liefst elf dagen tot we de juiste persoon binnen de organisatie te pakken hadden.’

Verder moet een bedrijf in het beleid formuleren wat er is toegestaan en wanneer het als een criminele activiteit wordt gezien. ‘Dit kan bij meldingen geen discussie meer opleveren of iets gepermitteerd is of niet.’ In het verlengde van het voorkomen van discussies, adviseert De Ceukelaire om de hoogte van eventuele beloningen in het beleid op te nemen. ‘Meldt het dus ook gerust als er géén beloning tegenover staat.’ Tot slot moet er gemeld worden binnen hoeveel dagen iemand een reactie kan ontvangen.

Zo’n beleid opstellen hoeft geen tijdrovende of dure klus te zijn. Security.txt is een gratis tool waarmee je dit binnen vijf minuten kan opstellen en publiceren.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-04-01T14:17:00.000Z Suzanne Martens
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.