Advies

Een hacker inhuren, wanneer het mag en wanneer absoluut niet

Als je zoekt op een hacker inhuren, zijn er grofweg twee werelden. De ene is illegaal en brengt je in grote problemen. De andere is een volwassen vakgebied dat organisaties helpt om hun beveiliging te versterken. In dit artikel leggen we uit waarom je van de eerste variant verre moet blijven en hoe de tweede variant, ethical hacking, wél werkt.

Waarom je geen hacker moet inhuren voor illegale doeleinden

Laten we daar helder over zijn: het inhuren van iemand om in te breken in accounts, systemen of netwerken van anderen is strafbaar. Het maakt niet uit of het gaat om een ex-partner, een concurrent of iemand die je geld schuldig is. Computervredebreuk valt onder artikel 138ab van het Wetboek van Strafrecht en kan leiden tot gevangenisstraffen tot vier jaar. Wie opdracht geeft tot zo’n inbraak is evenzeer strafbaar als degene die het uitvoert.

Bovendien zijn de aanbieders die je online vindt onder termen als hacker gezocht of hacker inhuren vrijwel zonder uitzondering oplichters. Je betaalt vooraf, ontvangt niets en kunt nergens terecht omdat je zelf een strafbaar feit probeerde te plegen. Het is een markt die draait op de wanhoop van mensen en daar is niets aan dat je verder helpt.

Wat is een ethical hacker

Een ethical hacker, ook wel pentester of white hat hacker genoemd, doet in de basis hetzelfde als een kwaadwillende hacker: kwetsbaarheden opsporen in systemen, netwerken en applicaties. Het cruciale verschil is dat een ethical hacker dit doet met toestemming van de eigenaar, binnen vooraf afgesproken kaders en met als doel de beveiliging te verbeteren in plaats van te misbruiken.

Ethical hacking is een erkend en snel groeiend vakgebied. Professionals beschikken over certificeringen als OSCP, CEH of GPEN, werken volgens vaste methodieken en leveren gedetailleerde rapportages op waarmee organisaties hun kwetsbaarheden kunnen verhelpen.

Wanneer huur je een ethical hacker in

Er zijn verschillende situaties waarin het inschakelen van een ethical hacker verstandig of zelfs noodzakelijk is:

  • Penetratietest (pentest) — een gestructureerde test waarbij een ethical hacker probeert in te breken in je systemen om zwakke plekken bloot te leggen. Dit is de meest voorkomende dienst.
  • Red teaming — een uitgebreidere variant waarbij een team van ethical hackers een realistische aanval simuleert, inclusief social engineering en fysieke toegangspogingen.
  • Vulnerability assessment — een scan van je systemen op bekende kwetsbaarheden, minder diepgaand dan een pentest maar nuttig als eerste stap.
  • Bug bounty programma — je stelt je systemen open voor een groep goedgekeurde ethical hackers die beloond worden voor elke kwetsbaarheid die ze vinden.
  • Compliance — regelgeving zoals de Cyberbeveiligingswet (NIS2), PCI DSS of ISO 27001 vereist regelmatig beveiligingstesten. Een ethical hacker helpt je hieraan te voldoen.

Het verschil tussen illegaal en legaal hacken

Het onderscheid is simpel maar fundamenteel:

  • Illegaal — zonder toestemming van de eigenaar, met als doel schade toe te brengen, gegevens te stelen of iemand te chanteren. Strafbaar, altijd.
  • Legaal (ethical hacking) — met schriftelijke toestemming van de eigenaar, binnen een vooraf vastgestelde scope, met als doel kwetsbaarheden te vinden en te rapporteren zodat ze kunnen worden opgelost.

Die schriftelijke toestemming is essentieel. Zonder een getekende overeenkomst waarin de scope, de methoden en de tijdsperiode zijn vastgelegd, is zelfs goedbedoeld hacken juridisch problematisch. Professionele ethical hackers werken altijd met een dergelijke overeenkomst.

Hoe vind je een betrouwbare ethical hacker

In Nederland zijn er tientallen gespecialiseerde bedrijven die ethical hacking diensten aanbieden. Let bij het kiezen op het volgende:

  • CCV-keurmerk Pentesten — het Centrum voor Criminaliteitspreventie en Veiligheid heeft een keurmerk voor pentestaanbieders dat garandeert dat het bedrijf aan strenge kwaliteitsnormen voldoet.
  • Certificeringen van de testers — certificeringen als OSCP (Offensive Security Certified Professional), GPEN (GIAC Penetration Tester) of CREST zeggen iets over de hands-on vaardigheden van individuele testers.
  • Referenties en ervaring — vraag naar ervaring in jouw sector. Een pentest voor een zorgomgeving vereist andere kennis dan een test voor een webshop.
  • Rapportage en nazorg — een goede ethical hacker levert niet alleen een lijst kwetsbaarheden op, maar ook concrete aanbevelingen en eventueel een hertest om te verifiëren of de problemen zijn opgelost.

Responsible disclosure in Nederland

Nederland loopt internationaal voorop op het gebied van responsible disclosure, ook wel coordinated vulnerability disclosure (CVD) genoemd. Dit houdt in dat iemand die een kwetsbaarheid ontdekt in een systeem, dit op een verantwoorde manier meldt bij de eigenaar in plaats van het te misbruiken of openbaar te maken.

Het Nationaal Cyber Security Centrum (NCSC) heeft richtlijnen opgesteld voor responsible disclosure en veel Nederlandse organisaties hebben een eigen disclosure-beleid. Dit creëert een legaal kader waarin beveiligingsonderzoekers kwetsbaarheden kunnen melden zonder juridische risico’s, mits ze zich aan de spelregels houden.

Samenvatting

Een hacker inhuren voor illegale doeleinden is strafbaar, zinloos en levert je niets op behalve problemen. Wie serieus werk wil maken van digitale veiligheid, schakelt een ethical hacker in. Dat is een professional die met toestemming en binnen duidelijke kaders werkt om je organisatie veiliger te maken. Het is het verschil tussen inbreken en het testen van je sloten.

Vorig artikel Wat is cybersecurity?
Volgend artikel Audit informatiebeveiliging: welke audits zijn er en hoe bereid je je voor