Financiële informatie is hot op zwarte markten. Maar ook persoonsgegevens blijken gegeerd. Stijn Jans, managing partner bij The Security Factory, nuanceert de situatie voor ziekenhuizen. "Veel hangt natuurlijk af van welke patiënten in het 'doelwit-ziekenhuis' opgenomen zijn. Aan het medische dossier van de koning kan een hacker uiteraard grof geld verdienen. Maar in de meeste gevallen zal het hem gaan om financiële informatie. Meer bepaald: de geldstromen die hij kan beïnvloeden. Het volstaat om cruciaal één rekeningnummer te bemachtigen om zich te verrijken." Voor een ziekenhuis is de imagoschade evenwel groter wanneer patiëntengegevens uitlekken, pikt ICT-directeur van az groeninge Tom Coolen in. "Dat zijn de kroonjuwelen."

Het ultieme worst case scenario voor een ziekenhuis is een hacker die een medisch toestel uitschakelt (en dus ook de patiënten die ermee verbonden zijn). Dat risico is reëel omdat steeds meer medische toestellen op het net zijn aangesloten. Daardoor kunnen hackers makkelijker ziekenhuisapparaten manipuleren, zelfs vanuit het buitenland. In de Verenigde Staten liet voormalig vicepresident Dick Cheney bijvoorbeeld de afstandsbediening van zijn pacemaker uitschakelen omdat hij vreesde dat een hacker hem op die manier wel eens vanop afstand zou kunnen uitschakelen.

'Ethisch' hacken?
Stijn Jans beklemtoont dat er een verschil is tussen wat een bedrijf als The Security Factory doet, en individuen die zonder voorafgaande afspraken op zoek gaan naar kwetsbaarheden. "Bij de eerste vorm, zoals in az groeninge is gebeurd, tekenen beide partijen vooraf een contract waarin de spelregels duidelijk staan beschreven: wat er exact gaat gebeuren, wie het werk gaat uitvoeren en wanneer de hack zal plaatsvinden." Dat soort ethisch hacken gebeurt al meer dan tien jaar in België. Door de nieuwe Europese GDPR-richtlijn (General Data Protection Regulation) - die concreet inhoudt dat elk bedrijf vanaf 2018 meer inspanningen zal moeten doen om digitale persoonsgegevens voldoende te beschermen - , zal die vraag alleen maar toenemen. "Veel bedrijven voelen daardoor de nood om te investeren in hun veiligheidssystemen", zegt Jans.

Bij de tweede soort ethisch hacken gaat de hacker zonder dat het 'doelwit' op de hoogte is de beveiliging van een website of systeem testen. Vervolgens meldt hij de kwetsbaarheden aan de eigenaar van het systeem, zonder ze publiek kenbaar te maken (responsible disclosure). Te vergelijken met wat de Koppen-redactie enkele jaren geleden gedaan heeft met onder andere UZ Leuven. Op zijn website is te lezen dat het ziekenhuis een strafklacht neerlegde bij de onderzoeksrechter.

Een derde categorie ten slotte zijn de bug bounty-hacks, die zich ergens tussen de eerste twee categorieën bevinden. In dit geval sporen bedrijven of organisaties ethische hackers aan om kwetsbaarheden te zoeken in hun systemen en die te melden in ruil voor een beloning of bug bounty. Vooral in Amerika is dit fenomeen gebruikelijk. Goede voorbeelden zijn grootspelers zoals Facebook en Google. Zo kan je bij Google tot 20.000 dollar verdienen voor het melden van een serieus veiligheidsprobleem. Facebook zou ondertussen al meer dan 4,3 miljoen dollar uitgekeerd hebben aan meer dan 800 onderzoekers sinds de start van hun bug bounty-programma in 2011.

Wettelijk kader
Deze tweede en derde vorm van ethisch hacken bevindt zich in België in een grijze zone aangezien er geen wettelijk kader voor bestaat. Hacken is immers strafbaar, officieel is het een (poging tot) inbraak. "De regering wil ethisch hacken nu uit de strafrechtelijke context halen", weet Stijn Jans. Zo zou er een meldpunt komen voor 'goede' hackers wanneer zij kwetsbaarheden in ICT-systemen van de overheid ontdekken.

De verantwoordelijkheid voor de ontwikkeling daarvan ligt bij het Centrum voor Cybersecurity (CCB), dat operationeel is sinds augustus vorig jaar en online veiligheidsdreigingen moet opsporen. Premier Charles Michel kondigde het nieuws begin dit jaar aan.
Vraag is waar bepaalde grenzen liggen. Veel mensen stellen zich bijvoorbeeld spontaan kandidaat om met hun informaticakennis kinderporno op het web aan het licht te brengen, maar zowel het opzoeken als bekijken van pedopornografisch materiaal is strafbaar.

Financiële informatie is hot op zwarte markten. Maar ook persoonsgegevens blijken gegeerd. Stijn Jans, managing partner bij The Security Factory, nuanceert de situatie voor ziekenhuizen. "Veel hangt natuurlijk af van welke patiënten in het 'doelwit-ziekenhuis' opgenomen zijn. Aan het medische dossier van de koning kan een hacker uiteraard grof geld verdienen. Maar in de meeste gevallen zal het hem gaan om financiële informatie. Meer bepaald: de geldstromen die hij kan beïnvloeden. Het volstaat om cruciaal één rekeningnummer te bemachtigen om zich te verrijken." Voor een ziekenhuis is de imagoschade evenwel groter wanneer patiëntengegevens uitlekken, pikt ICT-directeur van az groeninge Tom Coolen in. "Dat zijn de kroonjuwelen." Het ultieme worst case scenario voor een ziekenhuis is een hacker die een medisch toestel uitschakelt (en dus ook de patiënten die ermee verbonden zijn). Dat risico is reëel omdat steeds meer medische toestellen op het net zijn aangesloten. Daardoor kunnen hackers makkelijker ziekenhuisapparaten manipuleren, zelfs vanuit het buitenland. In de Verenigde Staten liet voormalig vicepresident Dick Cheney bijvoorbeeld de afstandsbediening van zijn pacemaker uitschakelen omdat hij vreesde dat een hacker hem op die manier wel eens vanop afstand zou kunnen uitschakelen.'Ethisch' hacken? Stijn Jans beklemtoont dat er een verschil is tussen wat een bedrijf als The Security Factory doet, en individuen die zonder voorafgaande afspraken op zoek gaan naar kwetsbaarheden. "Bij de eerste vorm, zoals in az groeninge is gebeurd, tekenen beide partijen vooraf een contract waarin de spelregels duidelijk staan beschreven: wat er exact gaat gebeuren, wie het werk gaat uitvoeren en wanneer de hack zal plaatsvinden." Dat soort ethisch hacken gebeurt al meer dan tien jaar in België. Door de nieuwe Europese GDPR-richtlijn (General Data Protection Regulation) - die concreet inhoudt dat elk bedrijf vanaf 2018 meer inspanningen zal moeten doen om digitale persoonsgegevens voldoende te beschermen - , zal die vraag alleen maar toenemen. "Veel bedrijven voelen daardoor de nood om te investeren in hun veiligheidssystemen", zegt Jans. Bij de tweede soort ethisch hacken gaat de hacker zonder dat het 'doelwit' op de hoogte is de beveiliging van een website of systeem testen. Vervolgens meldt hij de kwetsbaarheden aan de eigenaar van het systeem, zonder ze publiek kenbaar te maken (responsible disclosure). Te vergelijken met wat de Koppen-redactie enkele jaren geleden gedaan heeft met onder andere UZ Leuven. Op zijn website is te lezen dat het ziekenhuis een strafklacht neerlegde bij de onderzoeksrechter. Een derde categorie ten slotte zijn de bug bounty-hacks, die zich ergens tussen de eerste twee categorieën bevinden. In dit geval sporen bedrijven of organisaties ethische hackers aan om kwetsbaarheden te zoeken in hun systemen en die te melden in ruil voor een beloning of bug bounty. Vooral in Amerika is dit fenomeen gebruikelijk. Goede voorbeelden zijn grootspelers zoals Facebook en Google. Zo kan je bij Google tot 20.000 dollar verdienen voor het melden van een serieus veiligheidsprobleem. Facebook zou ondertussen al meer dan 4,3 miljoen dollar uitgekeerd hebben aan meer dan 800 onderzoekers sinds de start van hun bug bounty-programma in 2011.Wettelijk kader Deze tweede en derde vorm van ethisch hacken bevindt zich in België in een grijze zone aangezien er geen wettelijk kader voor bestaat. Hacken is immers strafbaar, officieel is het een (poging tot) inbraak. "De regering wil ethisch hacken nu uit de strafrechtelijke context halen", weet Stijn Jans. Zo zou er een meldpunt komen voor 'goede' hackers wanneer zij kwetsbaarheden in ICT-systemen van de overheid ontdekken. De verantwoordelijkheid voor de ontwikkeling daarvan ligt bij het Centrum voor Cybersecurity (CCB), dat operationeel is sinds augustus vorig jaar en online veiligheidsdreigingen moet opsporen. Premier Charles Michel kondigde het nieuws begin dit jaar aan. Vraag is waar bepaalde grenzen liggen. Veel mensen stellen zich bijvoorbeeld spontaan kandidaat om met hun informaticakennis kinderporno op het web aan het licht te brengen, maar zowel het opzoeken als bekijken van pedopornografisch materiaal is strafbaar.