Niet alle hackers zijn kwaadwillend. Ethische hackers, ook wel gewetensvolle of white-hat hackers genoemd, testen met inbraakpogingen of de beveiliging van een website sterk genoeg is. Of ze stuiten op een veiligheidslek en willen helpen dat te dichten. Maar dat wordt hen niet altijd in dank afgenomen.
Dat komt deels omdat veel bedrijven en organisaties helemaal niet weten dat er hackers bestaan die inbreken omdat ze willen helpen, zegt Michel van Eeten. Hij is hoogleraar bestuurskunde aan de TU Delft en gespecialiseerd in ‘internet security’.
Het valt hem op dat bedrijven geregeld „in plaats van de eigen misstanden te onderkennen, meteen via de media terugmeppen naar degene die die misstanden had blootgelegd. Terwijl de eerste reactie zou moeten zijn: we hebben dit aan onszelf te danken, laten we eerst maar eens onze eigen organisatie op orde brengen voordat we een grote mond opzetten tegen degene die dat gemeld heeft.”
Leidraad
Mogelijk komt daar binnenkort verandering in. Het ministerie van Veiligheid en Justitie heeft in januari een leidraad gepubliceerd, waarin het bedrijven en overheden adviseert om geen aangifte te doen als een hacker aan een aantal voorwaarden heeft voldaan. Het was de eerste keer dat de Nederlandse overheid expliciet erkende dat ethische hackers een maatschappelijk belang hebben.
Hoeveel ethische hackers er in Nederland actief zijn, is moeilijk in te schatten. Het is geen constante groep, maar volgens Wil van Gemert, directeur Cyber Security bij het ministerie van Veiligheid en Justitie zijn er in ieder geval „vele tientallen mensen die op positieve wijze helpen aan het verbeteren van de veiligheid van websites.”
„Symbolisch is de leidraad mooi, maar juridisch heb je er niet heel veel aan." – Juerd Waalboer
Van Gemert is verantwoordelijk voor de ‘Leidraad om te komen tot een praktijk van Responsible Disclosure’. Die laatste term houdt in dat een hacker een beveiligingslek ‘op verantwoorde wijze’ meldt. En dus niet het lek aan de grote klok hangt of bijvoorbeeld wijzigingen in het computersysteem aanbrengt of gegevens kopieert. In ruil daarvoor onthoudt de organisatie zich van ‘juridische vervolgstappen’. Het ministerie hoopt dat bedrijven en (overheids-)organisaties de leidraad overnemen. Een aantal bedrijven, waaronder KPN, heeft al een richtlijn.
Overigens blijft het wetsartikel op computervredebreuk ongewijzigd. De vraag is dan ook of de nieuwe leidraad hackers voldoende vertrouwen geeft dat ze hun ontdekte lek kunnen melden zonder vervolgd te worden. Juerd Waalboer, mede-oprichter van het Hackmeldpunt, denkt van niet: „Symbolisch is de leidraad mooi, maar juridisch heb je er niet heel veel aan. Je spreekt af dat een bedrijf geen aangifte doet, maar iemand anders kan alsnog aangifte doen. Ook kan het OM alsnog besluiten tot vervolging over te gaan”.
Anonimiteit
"Je moet juist blij zijn dat die hacker er is." – Astrid van Oosenbrug (PvdA)
Het Hackmeldpunt is een website die ethische hackers de mogelijkheid moet gaan bieden om anoniem een veiligheidslek te melden. Als hackers anoniem blijven, kunnen ze immers ook niet worden vervolgd.
Of anonimiteit de oplossing is, betwijfelt Tweede Kamerlid Astrid van Oosenbrug (PvdA). Ze vindt wel dat er meer bescherming moet komen voor de ethische hacker. Van Oosenbrug vreest dat als ethische hackers bang moeten zijn voor vervolging, ze een volgende keer geen melding meer maken van een veiligheidslek. „En dat is veel gevaarlijker. Je moet juist blij zijn dat die hacker er is, en hem niet straffen.”
Het Openbaar Ministerie houdt bij het beoordelen van een aangifte altijd rekening met de omstandigheden, aldus een woordvoerder. Als een bedrijf aangifte doet, kan het OM altijd nog besluiten om niet tot vervolging over te gaan omdat een hacker aan de voorwaarden van de leidraad heeft voldaan.
Een versie van dit artikel is eerder verschenen in NRC Handelsblad en nrc.next
