De rol van de ethische hacker wordt steeds belangrijker naarmate cybercriminelen geavanceerder worden in hun methoden en technieken.

Met een informatieplicht hebben deze experts de taak om hun bevindingen op verantwoorde wijze bekend te maken aan bedrijven wanneer kwetsbaarheden worden onthuld, vooral als de risico’s ernstig zijn.

Het is een proces Inti De Ceukelairechief hacker officer bij een cyberbeveiligingsbedrijf Intigriteitmaar al te bekend met, en een die volgens hem een ​​groot risico liep vanwege het ontbreken van klokkenluiderswetten in Europa.

“Ik zou het bedrijf gewoon een e-mail sturen en zeggen: ‘Ik heb geen slechte bedoelingen. Ik denk gewoon dat dit iets is dat je moet weten, ” vertelde hij PYMNTS in een interview, eraan toevoegend dat hij nooit in de problemen wilde komen of gestraft wilde worden voor het juiste doen.

Maar hij raakt steeds meer gefrustreerd als bedrijven hem koud laten, vooral als het gaat om het vrijgeven van grote hoeveelheden vertrouwelijke gegevens zoals medische dossiers, burgerservicenummers of overheidsinformatie die de veiligheid van duizenden mensen bedreigt.

“Ik heb het over bedrijven die miljarden verdienen en we onthullen hun klantgegevens, maar dat kan ze niet schelen. Ze nemen niet eens de moeite om op mijn e-mails te reageren, en soms is het zelfs erg moeilijk om het juiste e-mailadres te vinden”, zegt ze over de meer dan 100 bedrijven waarmee ze contact heeft gehad.

De Ceukelaire zorgde uiteindelijk voor wat veren, en aangezien alle vormen van hacken in die tijd illegaal waren in België, werd hij uiteindelijk gearresteerd toen een Belgisch bedrijf hem aanklaagde wegens het onthullen van een kwetsbaarheid in hun systeem.

Maar hij is een van de gelukkigen. ‘Als je het niet doet [same] misdaad in meer dan een jaar, dan zijn er in principe geen gevolgen. Dus ik deed het redelijk goed dan wie dan ook die ik kende, wat een ramp was. Sommigen van hen riskeren daarvoor zelfs gevangenisstraffen”, zei hij.

Gelukkig houdt het beleid nu gelijke tred met de ontwikkelingen op het gebied van cyberbeveiliging, zei hij, wijzend op een nieuw goedgekeurd wettelijk kader die deze maand in België is gelanceerd onder de Belgische klokkenluiderswet met sterke bescherming voor ethische hackers en bug premiejagers.

“Tien jaar geleden werd ik aangeklaagd wegens het op verantwoorde wijze bekendmaken van een kwetsbaarheid in een Belgisch bedrijf. [But] België is vanaf morgen het eerste land ter wereld waar ongeoorloofd testen niet langer strafbaar is”, aldus De Ceukelaire op LinkedIn na volgende mededelingen. “Perfecte tijd om mijn ‘strafblad’ in te kaderen, als bewijs van een wet die kan veranderen als genoeg mensen ervoor vechten!”

Verpletterde de AI-hype

Hoewel de klokkenluidersrichtlijn nu van kracht is, zei De Ceukelaire dat de hoop is dat de implementatie traag zal verlopen, aangezien de komende maanden nieuwe Europese regelgeving rond het vrijgeven van kwetsbaarheden wordt ingevoerd.

Maar het is een stap in de goede richting, zegt hij, en zal er waarschijnlijk toe leiden dat veel bedrijven die geen eerdere ervaring hebben met het jagen op bugbounty of verantwoord openbaarmakingsbeleid, bij de tijd blijven omdat “plotseling kan iedereen [legally] stel ze op de proef.”

Hij zegt dat dit is waar Intigriti een rol speelt, door gebruik te maken van zijn expertise om bedrijven te ondersteunen bij hun beleidsvormingsproces en het voor hen gemakkelijker te maken om te begrijpen wat er moet gebeuren om te voldoen aan veranderende regels en voorschriften.

“Alleen al in België heeft Intigriti meer dan 3.000 geregistreerde mensen [ethical] hackers’, legt hij uit. “Er wachten dus veel mensen om hun supermarkt of openbaarvervoersdienst te testen en we willen zeker weten dat deze hackers een voordeel bieden.”

Terwijl tools voor machine learning en kunstmatige intelligentie (AI) een grotere rol spelen bij de bestrijding van cybercriminaliteit, zegt hij dat de technologie ernstige beperkingen heeft en dat de impact ervan op cyberbeveiliging wordt overdreven door bedrijven die te veel vertrouwen hebben in hun vermogen om cybercriminaliteit te bestrijden.

“AI kan gemakkelijk voor de gek gehouden worden. Ik heb hem meer programmeerfouten zien schrijven en meer kwetsbaarheden in de cyberbeveiliging zien introduceren dan normale mensen”, legt hij uit.

Hij voegt eraan toe dat hoewel AI goed is in het detecteren van patronen en een belangrijke rol speelt bij het vinden van oplossingen voor cyberbeveiligingsrisico’s, patronen voortdurend veranderen, wat het vermogen van op AI gebaseerde beveiligingsproducten belemmert om effectief te werken – althans voorlopig.

“Ik denk niet dat er snel een definitieve AI-oplossing tegen hackers komt, en zelfs op korte termijn zou dit meer problemen kunnen veroorzaken dan oplossen”, betoogt hij.

Dat is de reden waarom het neerslaan van de AI-hype een van de grootste cyberbeveiligingstrends zal zijn die we dit jaar zullen zien, zegt hij, waardoor ethische hackers de kans krijgen om de mazen en gevaren bij het gebruik van de technologie beter bloot te leggen.

“Elke keer dat er een experimentele technologie is, is er een hype-cyclus”, zegt De Ceukelaire. “Ik geloof dat veel bedrijven tegenwoordig AI-budgetten hebben en geneigd zijn overmoedig te zijn [this technology]. En het is goed voor mensen zoals wij om het af te breken.

Abonneer u dagelijks voor alle EMEA-dekking van PYMNT EMEA-nieuwsbrief.