COLUMN - Ethische hackers verdienen beschermd te worden van vervolging, maar zover wil minister Opstelten niet gaan. Zonde.

Wat doe je wanneer je een sleutelbos in iemands voordeur ziet hangen? Aanbellen, en de bewoner op het probleem wijzen: ‘Iedereen kan zo uw huis in, dat zal niet de bedoeling zijn.’ Is er niemand thuis, dan haal je veiligheidshalve de sleutels uit het slot en gooit ze –met een net briefje erbij – in de brievenbus. Dank zal uw deel zijn.

Wanneer de deuren van een computersysteem open staan, is het lastiger. Terwijl jij hem erop wijst dat er toch heus een touwtje uit de brievenbus hangt of sleutels in het slot steken, ontkent de eigenaar meestal glashard dat hij iets verkeerd heeft gedaan. Met pech beschuldigt hij je van inbraak, of doet zelfs aangifte. De boel beter beveiligen weigert hij: dat vindt-ie te duur, te omslachtig en bovendien mógen andere mensen sowieso toch niet naar binnen? Je hoort helemaal niet aan dat touwtje te trekken, al hangt het uit de brievenbus!

Het gevolg: de boel blijft wagenwijd openstaan. Ook voor mensen met minder scrupules. Wat nu juist de reden is dat nette hackers melding willen maken van dergelijke open deuren.

Omdat het in ons aller belang is dat computersystemen beter worden beveiligd en het geen pas geeft de boodschapper te bestraffen, drong de Tweede Kamer aan op een richtlijn voor zorgvuldig hacken. Begin januari kwam minister Opstelten eindelijk met een voorstel. Ethische hackers mogen geen onnodige schade aanrichten (allicht), ze mogen geen overmatige moeite doen om binnen te komen, en ze mogen het lek niet openbaar maken totdat het bedrijf of de instantie in kwestie het gat heeft gedicht.

De nalatige instanties hoeven niks te doen, behalve ‘tijdig reageren’ op zo’n melding. Ze mogen nog steeds aangifte doen van inbraak, hoe zorgvuldig de hacker ook optrad, of kunnen het probleem simpelweg ontkennen. In het voorstel liggen alle plichten en risico’s bij de hackers; de lekkende instanties gaan vrijuit.

Beter had Opstelten nagedacht hoe hij bedrijven en instanties kan aanzetten tot goed gedrag. Bijvoorbeeld door te eisen dat zij voortaan elk datalek en elke hack (zowel goedschikse als kwaadschikse) aan een centraal meldpunt doorgeven. Wie een melding van een beveiligings- of datalek ontvangt, dient dat lek binnen een paar dagen te repareren, of anders het bewuste systeem tijdelijk voor het publiek uit te schakelen. Details over verholpen lekken worden kort nadien intern door het Nationaal Cyber Security Centrum gepubliceerd, zodat ook systeembeheerders elders er lering uit kunnen trekken.

Strafrechtelijk toont Opstelten weinig durf. Hij had kunnen beloven dat ethische hackers die volgens de regels der kunst een lek in de systemen van de overheid zélf melden, in principe niet worden vervolgd. Ook nette hacks die een breder publiek belang dienen, horen te worden gevrijwaard.

Over twee weken moet iemand voorkomen die liet zien dat een gezondheidslab zo wrak was als een natte schoenendoos. Daarvan wordt niemand wijzer.

Deze column van Karin Spaink verscheen afgelopen week in Het Parool.

Reacties (21)

#1 Yevgeny Podorkin

Je hoort steeds vaker allerlei beveiligingsproblemen van essentiële systemen (Digid plat en dergelijke). En dat wordt alleen maar erger als het op termijn een eitje wordt ook uit 8 willekeurige karakters bestaande wachtwoorden te kraken…

  • Volgende discussie
#2 Henk van S tot S

Opstelten en logisch nadenken zijn 2 ongelijknamige polen ;-)

  • Volgende discussie
  • Vorige discussie
#3 Amateur Commenter

Tja, Opstelten kan dan ook niet gehackt worden, die gebruikt nog steeds een telraam.

  • Volgende discussie
  • Vorige discussie
#4 hajo

Opstelten en Teeven zijn niet geïnterresseerd in (écht goede) oplossingen. Daarmee verlagen ze hun eigen bestaansrecht en dat van hun partij. ‘Veiligheid’ is een rechtse hobby.

  • Volgende discussie
  • Vorige discussie
#5 PatatjeJoppie

De geschetste analogie met een sleutelbos in de voordeur is aardig maar onvolledig. Was het maar zo dat de sleutels slechts uit het slot gehaald werden en met een briefje in de brievenbus gedeponeerd.

Veel vaker wordt even het huis binnengewandeld, doorgekeken en interessante zaken ingekeken of gekopieerd en meegenomen. Zie bijvoorbeeld de ‘ethische hack’ van het Groene Hart. Tegen deze praktijken kan en hoort de Minister geen bescherming te bieden.

Ik snap dat Spaink de ethische hackers ondersteunt. Maar het toverwoord is ‘ethisch’ en dat zijn er, zo blijkt uit de praktijk, uiteindelijk maar weinig.

  • Volgende discussie
  • Vorige discussie
#6 kevin

@5 “Maar het toverwoord is ‘ethisch’ en dat zijn er, zo blijkt uit de praktijk, uiteindelijk maar weinig.”

Je kletst uit je nek. De meeste neuzen niet rond.

Iedereen die zich vrijwillig meldt bij een instantie om het lek te dichten, heeft uiteraard een streepje voor op de echte criminelen die dat natuurlijk niet doen. Zelfs als ze uit nieuwsgierigheid misschien te ver gaan. Grey hat hackers zijn onmisbaar. Als ze eerlijk zeggen bij een instantie wat er mis is maar dat ze misschien wat overenthousiast zijn geweest, maakt ze niet meteen criminelen. Ik heb geen medelijden met echte criminelen, maar de grens is alles behalve zwart-wit en ik sta aan de zijde van hackers die in ieder geval zichzelf bekendmaken en contact opnemen met de verantwoordelijken.

  • Volgende discussie
  • Vorige discussie
#7 majava

@5: een perfecte analogie maken is altijd moeilijk. Ik zou dit willen toevoegen: De sleutelbos zit in een huis waar niet de spullen van één gezin, maar van wel duizenden andere personen liggen en de voorbijganger is daarvan op de hoogte. Nog steeds doorlopen?

Ik denk dat het wel wat uitmaakt of je iets beheert voor anderen of niet. De verantwoordelijkheid voor een degelijk slot op je deur is vele, vele malen groter.

  • Volgende discussie
  • Vorige discussie
#8 PatatjeJoppie

@6 “de meesten neuzen niet rond” – mag ik bewijs voor deze stelling? Hoeveel incidenten zijn gemeld en bij hoeveel van deze gemelde incidenten is inderdaad alleen het lek gemeld?

Er is een (inderdaad vage) grens tussen overenthousiasme en wangedrag maar die grens is in redelijkheid in te schatten. Doe bijvoorbeeld een ‘show tables’ ipv ‘select * from’. Ook ik sta overigens aan de kant van de ethische hackers die de lekken op de juiste manier willen vinden en melden, mocht je daaraan twijfelen.

@7 ik ben het met je eens; ik heb mezelf niet goed genoeg uitgedrukt. De moeite die ik heb met de analogie zit voornamelijk in de eenzijdige belichting van het onderwerp, maar tegelijk gaat de vergelijking mank.

Ten eerste wekt Karin imho de schijn dat de sleutels altijd netjes in de brievenbus worden gedeponeerd. Dat is pertinent niet waar. Ten tweede is met het deponeren van de sleutels in de brievenbus het gevaar op inbraak geweken – iets wat met het melden van een kwetsbaarheid niet kan: het lek blijft bestaan zolang het niet is opgelost.

  • Volgende discussie
  • Vorige discussie
#9 kevin

@8 “Ook ik sta overigens aan de kant van de ethische hackers die de lekken op de juiste manier willen vinden en melden, mocht je daaraan twijfelen.”

Dat deed ik inderdaad. Volgens mij zijn we het redelijk eens, maar ik vraag me toch af: waarom de verdachtmakingen aan het adres van grey hats? Ik heb geen bewijs, maar hackers die zich bekend willen maken, gaan geen gegevens stelen voor persoonlijk gewin. Dat strookt gewoon niet met mekaar. Als ze gegevens inzien, dan is dat hooguit om te kijken wat er te halen valt en of er misschien nog meer openstaat. De echte criminelen die daar op uit zijn, die gaan zich toch niet vrijwillig aangeven?

  • Volgende discussie
  • Vorige discussie
#10 PatatjeJoppie

@9 omdat uit de enige zaken die in de pucliciteit komen nu eenmaal blijkt dat een melder die ethisch lijkt, dat niet is[1]. Zelfs Henk Krol heeft meer gedaan dan strikt noodzakelijk bij zijn ‘hack’, door verschillende dossiers te downloaden. Hoe strafbaar dat uiteindelijk is zullen we in februari wel te weten komen; uiteindelijk heeft het OM toch besloten om te gaan vervolgen. Ik denk dan: komkommertijd en persaandacht, maar ik denk ook dat het wenselijk is dat er jurisprudentie komt over een soort responsible disclosure.

Waren er maar breed in de pers uitgemeten voorbeelden van hoe het wel moet. Die zijn er vast, maar die blijven tot nu toe onder de radar. Wat op zich prima is, maar laten we ajb niet doen alsof alle melders netjes die sleutelbos in de brievenbus gooien zonder even langer binnen rond te kijken dan nodig. Ik vind het al heel wat dat MinV&J sowieso met een raamwerk komt, ook al rammelt dat misschien nog een beetje.

[1] http://www.om.nl/actueel/nieuws-persberichten/@159865/verdachte-hacker/

  • Volgende discussie
  • Vorige discussie
#11 kevin

@10

Wat op zich prima is, maar laten we ajb niet doen alsof alle melders netjes die sleutelbos in de brievenbus gooien zonder even langer binnen rond te kijken dan nodig.

Laten we ook vooral niet doen alsof alle melders dat wél doen, omdat die sukkel van een Henk Krol wat dossiers heeft gedownloadt! Hoezo is Henk fucking Krol tegenwoordig een hacker?

Er is iets heel erg mis als we klokkenluiders gaan vervolgen omdat ze controleren of er wel echt een lek is en wat er dan allemaal open zou staan. Prosecutorial overreach, wat mij betreft. Ga verdomme echte boeven vangen!

</rant>

  • Volgende discussie
  • Vorige discussie
#12 Olaf

@5: “Ik snap dat Spaink de ethische hackers ondersteunt. Maar het toverwoord is ‘ethisch’ en dat zijn er, zo blijkt uit de praktijk, uiteindelijk maar weinig.”

Dan is het aan de overheid om ‘ethisch’ duidelijke grenzen te gevem, om te goeden in bescherming te nemen.

  • Volgende discussie
  • Vorige discussie
#13 PatatjeJoppie

@11

ACK.

  • Volgende discussie
  • Vorige discussie
#14 PatatjeJoppie

@12

Eens, maar niet helemaal. De overheid heeft al een kader geschetst met het responsible disclosure document van Opstelten, maar zal waar nodig (sic) blijven vervolgen; de rechtspraak zal de kaders van ‘ethisch’ uiteindelijk moeten bepalen.

  • Volgende discussie
  • Vorige discussie
#16 Let

Opstelten mag dan een simpele ziel zijn, degenen die aan zijn touwtjes trekken zijn dat niet. Aan (on-)veiligheid kan veel verdiend worden, maar het kan ook het perfecte glijmiddel zijn om bijna onmerkbaar, de speeltjes van de fascistische elite bij de brave consument/slaaf in te brengen. Geld is alleen maar lastig en daarom is al lang geleden bedacht om iedereen te chippen en uitstaande tegoeden, maar liever schulden, in de chip onder te brengen. Wie braaf is, kan met de chip -als ware het een gouden sleutel- toegang krijgen tot het ultieme consumentenwalhalla. Maar wie niet braaf is, komt met zijn/haar ‘bad’ chip domweg nergens meer in. Moet je maar braaf zijn. Google is al begonnen met een oorlog aan het wachtwoord. We moeten voortaan maar inloggen met een chip, die we bijvoorbeeld in een ring altijd bij ons kunnen dragen. Onhandig zo’n ring, dus chippen is de oplossing!

Veiligheid is een illusie en angst uw beste rechtse vriend.

  • Volgende discussie
  • Vorige discussie
#17 GerritB

Wat mij verbaasd, is dat in geen van de comments de verantwoordelijkheid van de eigenaren van databanken genoemd wordt.

Om de analogie met ’touwtje uit de voordeur’ te gebruiken, zou ik, als wetgever, de eigenaren te verplichten om een degelijk slot op de voordeur te monteren. Ja dikke DUUH, als je kostbare bezittingen je zo lief zijn, dan doe je toch op zijn minst een serieuze poging tot inbraak preventie.
Het zou bijvoorbeeld, (OK een gechargeerd voorbeeld), interessant zijn een proef proces wegens uitlokking, of zo iets, te beginnen.

“Verdachte XYZ, legt u maar even uit aan de Edelachtbare, waarom bij u thuis de voordeur altijd wagenwijd open staat”

  • Volgende discussie
  • Vorige discussie
#18 Henk van S tot S

@17:
Misschien zijn ze ook verzekerd tegen insluiping, zoals bij de betere inbraakpolissen ;-)
Wat je “proces” betreft:
Misschien moeten slachtoffers (of hun verzekeringen)de schade van bijvoorbeeld identiteitsfraude, via slordigheden met de beveiliging van DigiD, de schade rechtstreeks bij de sloddervossen gaan verhalen.
Met wat mazzel komt er ooit nog eens een initiatief uit 2e Kamer om een en ander bij wet te regelen.
Van “Jut & Jul” op justitie valt zulks niet te verwachen ;-)

  • Volgende discussie
  • Vorige discussie
#19 vanhetgoor

Je ergens tegen aan lopen te bemoeien heeft niets met ethiek te maken. Eerder met een verwrongen normen en waarden systeem, zelf even uitmaken wat de ander moet willen. Geen ruimte en plaats voor andersdenkenden. Kortom jouw visie opdringen. Iets soortgelijks las ik vandaag nog. Een of anders sheik had gezegd dat het verkrachten van christen-vrouwen in Syrië is toegestaan. Hij praat vanuit zijn (gebrek aan) normen en waarden, hij is er van overtuigd. Maar wie zegt hem dat?

Er bestaat geen ethisch hacken, het is toegeven aan vernielzucht, het is toegeven aan nieuwsgierig gedrag. Ook al is de inlognaam ‘Admin’ En het wachtoord ‘letmein’ dan nog is toegang niet ethisch. Simpel omdat het ongeoorloofd toegang verschaffen niet ethisch is! Klaar, einde discussie. En kom niet met valse praatjes zoals, “Er staat iemand op het punt om een moord te plegen en jij kan dat voorkomen door die man te vermoorden, zou jij dat doen?” Of de daarop volgende vraag, “Er is een man die zes miljoen mensen gaat vermoorden en jij hebt de kans hem te stoppen, zou jij die man het leven beëindigen waardoor jij die zes miljoen mensen laat leven?” Het hellende vlak van de moraal, de valse ethiek en de normen en waarden ligt heel duidelijk bij het “Nee!”

Er is geen ethisch verantwoord hacken, en is geen ethisch verantwoorde moord, net als er geen moraal aanvaardbare verkrachtingen zijn. Het is een hellend vlak waar men zich NOOIT op moet begeven. Het gevaar bestaat namelijk in de vergissing, het verstoorde beeld, de verkeerde uitgangspunten.

  • Volgende discussie
  • Vorige discussie
#20 Kalief

@19 Met ‘ethisch hacken’ wordt bedoeld ‘aantonen dat de beveiliging niet deugd’. Als jij dat gelijk stelt aan moord en verkrachting dan ben je flink van het padje af.

  • Volgende discussie
  • Vorige discussie
#21 kevin

@19 Je hebt duidelijk niet in de gaten hoe cruciaal hackers zijn in het veilig houden van onze elektronische beveiliging.

  • Vorige discussie