Helpende hackers

Karin Spaink meent dat hackers een structurele rol moeten krijgen bij het ontwerp van ICT-systemen van de overheid. Het stuk is overgenomen van haar site en stond ook in het Parool.

In een brandbrief hebben de verzamelde Nederlandse hackerorganisaties afgelopen week de overheid hun diensten aangeboden. Het gaat immers vaak ernstig mis met overheids-ICT. Denk aan de stemcomputers, het elektronisch patiëntendossier, de OV-chipkaart en Diginotar. Denk aan de Belastingdienst die toestaat dat via een willekeurig DigID iemands bank- of rekeningnummer kan worden veranderd, waarna de onverlaten valselijk allerlei toeslagen (huur, zorg, kinderopvang) konden incasseren. Denk aan de talloze lekke verheidswebsites.

Terecht schrijven de hackers dat ‘elementaire beveiligingsprincipes’ structureel niet worden toegepast en dat er sprake is van ‘blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars.’

Hackers die zulke fouten ontdekken, durven ze vaak niet te melden. Al snel belanden ze dan zelf in de beklaagdenbank, temeer daar sommige instanties alleen al het verrichten van zulk onderzoek als strafbaar beschouwen.

De Tweede Kamer reageerde plezierig snel en adequaat. Binnen een paar dagen vond viervijfde van de Kamer dat hackers die te goeder trouw beveiligingslekken willen aantonen en die openheid nastreven, dezelfde bescherming verdienen als klokkenluider. Een stap vooruit!

Maar klokkenluiders zijn in Nederland erg slecht af (denk aan de bouwfraude), dus uiteindelijk schiet je er niet veel mee op. Daarnaast kun je pas dataklokkenluider worden nadat de fouten zijn doorgevoerd. Liever wil je voorkomen dat de elementaire ontwerp- en beveiligingsfouten waarmee de overheid nu steeds kampt, het überhaupt tot beleid en praktijk kunnen schoppen.

Ook daar is iets op te bedenken. Waarom laat de overheid – landelijk, provinciaal, gemeentelijk – haar ICT-projecten voortaan niet structureel doorlichten door hackers? Te denken valt aan een gefaseerde test: eenmaal na afloop van de ontwerpfase, voordat de bouw begint, en eenmaal pal voor de oplevering. Via de eerste test kunnen ontwerpfouten vroeg worden gesignaleerd, met de tweede kunnen uitvoeringsfouten worden onderschept voordat ze live gaan.

Mogelijk lopen ICT-projecten zodoende vertraging op, maar ze worden er robuuster en veiliger van. En het hoeft de overheid niks extra te kosten: in de aanbestedingsregels kan zij vastleggen dat herstel van de ontwerp- en implementatiefouten die hackers in zulke testen aantreffen, voor rekening van de ingehuurde projectpartner komt.

Geheid dat de overheidspartners – grote softwarebedrijven – tegenstribbelen: bedrijfsgeheimen, et cetera. Maar hackers zijn juist zo goed omdat zij hun kennis vanzelfsprekend delen. Het is de hoogste tijd dat de overheid die kennis benut, en zich laat helpen door hackers.

  1. 3

    OT en noem me maar weer een buitenbeentje: ik vind het eigenlijk best wel stimulerend dat de site niet lekker loopt, noem het de Nieuwe Krakkemikkigheid. het ging toch alleen om het zwart en wit (oke, paars). Hakkend en blazend niet uitkomen waar je wil, werkt als een uitgestelde ekalejatie

    En je kan b.v. Wanhoop en Verwarring zaaien…is toch Heerlijk?

  2. 4

    Trouwens,

    “Ook daar is iets op te bedenken. Waarom laat de overheid – landelijk, provinciaal, gemeentelijk – haar ICT-projecten voortaan niet structureel doorlichten door hackers? Te denken valt aan een gefaseerde test: eenmaal na afloop van de ontwerpfase, voordat de bouw begint, en eenmaal pal voor de oplevering. Via de eerste test kunnen ontwerpfouten vroeg worden gesignaleerd, met de tweede kunnen uitvoeringsfouten worden onderschept voordat ze live gaan.”

    – doen die hackers dat gratis?
    – zijn hackers onfeilbaar?
    – welke hackers zijn goed genoeg?
    – welke hackers zijn betrouwbaar genoeg?

    Waarom dit voorstel niet gewoon, zonder hackers, maar met pen-test, opnemen in het normale ontwerpplan?

  3. 5

    avanaa: nu doen die hakcers het ook gratis, maar is het mosterd na de maaltijd. En zodra hun bevindingen consequenties hebben – de bouwers moeten de boel herschrijven, op eigen kosten – is het uiteraard niet meer gratis: de kosten worden gedragen door de bouwers. En als de bouwers het slimm aanpakken, huren ze die hackers zelf in – tegen een fatsoenlijk salaris.

  4. 6

    Als je moet pen-testen ben je eigenlijk al te laat. Veiligheid is niet iets wat je achteraf nog even toevoegd en test, het moet al in het ontwerp zelf zitten. Daarnaast zitten er in de commerciele pen-test wereld veel kwakzalvers die een standaard cd-tje van internet downloaden en de print-outs daarvan een ‘rapport’ noemen.

    Het voorstel is er op gericht om het mogelijk te maken een lek te melden als zoiets ontdekt wordt als het systeem al in gebruik is. Nu gebeurd dat niet omdat je dan kan rekenen op juridische intimidatie (overheid) of erger (bedrijfsleven).

    Dat betekent niet dat de overheid op haar lauweren kan rusten. Nee, hackers zijn niet onfeilbaar. En veiligheid is iets waar je al vanaf fase 0 (het idee) rekening moet houden. Maar als dan achteraf blijkt dat het toch lek is, dan is het toch fijn als dat gemeld wordt *voordat* criminelen er mee aan de haal gaan.

  5. 7

    Herman: helemaal mee eens. Veiligheid is geen sausje achteraf, veilig zijn alleen systemen die van meet af aan zo zijn ntworpen (en zelfs die zijn niet altijd veilig). Vandaar ook dat ik denk dat klokkenluiden mosterd na de maaltijd is, en dat we moeten nadenken over mechanismes die bevorderen dat in het ontwerp en de bouw van ICT veiligheid wordt meegenomen.

    Buitenstaanders – hackers – gaten laten schieten in opzet en uitvoering lijkt me een goed begin, zeker wanneer het repareren van dergelijke fouten voor rekening van de uitvoerder komt. Dat zal hopelijk bevorderen dat ze al in een eerder stadium naar kritiek luisteren…

    En nee, hackers zijn niet onfeilbaar. En al waren ze dat wel: de techniek zelf verandert oo, en wat drie jaar geleden een obscuur exploit was, is nu iets dat een scriptkiddie kan doen. Maar het is zo stom om iets op te leveren dat een scriptkiddie *nu al* onderuit kan schoppen…

  6. 8

    Sinds Assange meent menigeen dat hackers een soort McGyvers zijn die vol altruisme en gewapend met ducktape en Zwitsers zakmes door de wereld trekken. Er zullen weinig hackers bereid zijn om een site te testen als die nog niet in de lucht is. Tenzij tegen betaling. En het werkt ook nog eens zo: als site A door hacker B is getest en goed bevonden, ga er dan maar vanuit dat site A extra doelwit is van hackers die hun status willen verhogen.

  7. 10

    Mevrouw Spaink heeft waarschijnlijk last van een foutief beeld van hackers (slim, betrouwbaar, idealistisch).
    Overigens heeft zij waarschijnlijk ook last van een foutief beeld van de overheid (ambtenaren zijn stuk voor stuk uit op totale controle over de burger).