Opstelten stelt strakke regels voor ethische hackers

De Rijksoverheid stelt zich open voor klokkenluiders die kwetsbaarheden in ICT-systemen willen aantonen en zal in eerste aanleg geen aangifte doen bij ontdekkers van datalekken.


Minister Opstelten heeft vandaag een kader gepresenteerd waarin hij naar eigen zeggen 'responsible disclosure' wil vormgeven. De regeling geeft een voorzet over het maken van afspraken tussen ontdekkers van datalekken en gaten in de ICT-beveiliging en de organisatie die daarvoor verantwoordelijk voor is of daarvan het slachtoffer is.

In eerste instantie wordt 'responsible disclosure' door Opstelten breed in de Rijksoverheid toegepast. Daarnaast gaat Opstelten in overleg met het Openbaar Ministerie hoe met dergelijke meldingen, die volgens de gemaakte afspraken zijn gedaan, wordt omgegaan. Het Openbaar Ministerie mag nog steeds op eigen houtje strafrechtelijk onderzoek doen en vervolging instellen, ondanks dat de organisatie die eventueel is gehackt besluit geen aangifte te doen, zo waarschuwt de minister.

Geen full disclosure

De minister onderscheidt twee categorieŽn van het openbaar maken van lekken, zoals full disclosure (het direct publiekelijk bekendmaken van het lek) en een meer of deels besloten openbaring (responsible disclosure). "De responsible disclosure" heeft nadrukkelijk mijn voorkeur", schrijft de minister.

In het kader voor de openbaring van beveiligingslekken, dat vandaag naar de Tweede Kamer is gestuurd, worden onder meer enkele spelregels vastgesteld. Zo mag de 'hacker' geen onnodige schade aanrichten aan de ICT-systemen en niet verder gaan dan nodig is om de kwetsbaarheid aan te tonen. De ontdekker van de kwetsbaarheid moet onverwijld daarvan melding maken bij de betrokken organisatie (en eventueel het Nationaal Cyber Security Centrum) en die organisatie ook helpen om het lek te dichten.

Afspraken over het openbaar maken

Beide partijen maken afspraken over de termijn waarop de kwetsbaarheid verholpen zal zijn en de manier waarop er onderling wordt gecommuniceerd. Ook worden afspraken gemaakt over "de eventuele openbaarmaking" en het inlichten van de ICT-securitycommunity "zodat anderen lering kunnen trekken uit de kwetsbaarheid in kwestie", schrijft Opstelten.

"Een redelijke standaardtermijn die kan worden gehanteerd voor kwetsbaarheden in software is 60 dagen. Het verhelpen van kwetsbaarheden in hardware is lastiger te realiseren, hierbij kan een redelijke standaardtermijn van 6 maanden worden gehanteerd." De organisatie kan afspreken dat het de melder credits zal geven, als de melder dat wenst, voor het doen van de melding.

Strakke regels over vinden van lek

De organisaties dienen wel een beleid vast te stellen op het gebied van responsible disclosure. Daarin moet onder meer worden opgenomen dat het wel of niet aangifte doet in dergelijke gevallen en wanneer zo'n besluit valt. "Deze leidraad laat de geldende strafrechtelijke kaders onverlet en beperkt niet de bevoegdheid van het Openbaar Ministerie om in bepaalde gevallen ambtshalve te vervolgen", schrijft de minister.

Opstelten vindt dat social engineering niet mag om een lek aan te tonen, dus het afsnoepen van andermans inloggegevens op een dergelijke wijze is niet toegestaan. Ook mag geen eigen backdoor worden geplaatst, gegevens mogen niet worden gekopieerd, gewijzigd of verwijderd. Ook mag de melder zich niet herhaaldelijk toegang verschaffen tot het systeem of die toegang delen met anderen. Het 'bruteforcen' van wachtwoorden behoort niet tot het ontdekken van een kwetsbaarheid, zegt Opstelten.

In de komende maanden zal Opstelten met zijn collegaministers in overleg gaan om een dergelijk beleid Rijksbreed toe te passen. Het NCSC plaatst de leidraad op zijn website en zal het gebruik ervan "actief stimuleren bij de doelgroep" en relaties van het NCSC.