Leidraad ethisch hacken is niet voor de hacker

De richtlijn responsible disclosure is vooral voor organisaties en verandert op zich vrijwel niets aan de positie van ethische hackers.


Minister Ivo Opstelten heeft gisteren de lang verwachte en door de Tweede Kamer gevraagde richtlijn bekend gemaakt die het voor organisaties duidelijker moet maken hoe zij in geval van datalekken om kunnen gaan met de melder daarvan. Veel bedrijven, maar ook (semi-)overheidsinstellingen zijn onbekend met de materie. Bij confrontatie met zo'n melding, via de melder zelf of via een (journalistieke) tussenpersoon, wordt veelal verkrampt gereageerd.

Melders van dergelijke lekken hebben zich daardoor steeds vaker en ook eerder tot de media gewend om zodoende toch 'iets' met hun bevindingen te kunnen doen, en daarbij ook een zekere mate van bescherming af te dwingen. De actie Lektober die Webwereld in oktober 2011 hield in samenwerking met onderzoeksjournalist Brenno de Winter leverde meer meldingen van lekken op dan dagelijks kon worden gepubliceerd. In die gevallen fungeerde Webwereld als tussenpersoon naar de betreffende lekkende organisaties toe, ook als er niet werd gepubliceerd. De ene organisatie reageerde professioneler dan de andere.

Leidraad is voor organisaties

De richtlijnen die Opstelten nu heeft gepubliceerd, fungeren als leidraad voor organisaties om hun eigen beleid op dit gebied vast te stellen, en bekend te maken. Door publicatie van een dergelijk (lokaal) overheids- of bedrijfsbeleid weet de hacker beter waar hij aan toe is, bij wie hij zich kan melden en hoe er met zijn melding wordt omgegaan. Een dergelijk verbeterd onderling contact tussen organisatie en ethische hacker zou beter moeten werken dan communicatie via media, vindt Opstelten.

In de richtlijn staan kort vermeld ook de acties van hackers die in de ogen van Opstelten niet horen tot het ethische hacken. Die regels, zoals het verbod op brute forcen van wachtwoorden, social engineering, het downloaden of veranderen van data en het meermalen over een langere periode onnodig binnendringen van computers, zijn vrij helder. Deze acties zijn al verboden. Ook in dat opzicht verandert er niets voor hackers.

Leidraad is geen vrijbrief voor hackers

Wil van Gemert, de directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), zei bij de presentatie van de richtlijnen al dat deze geen vrijbrief zijn voor hackers om maar hun gang te gaan, vandaar de opsomming van regels waaraan de ethische hackers zich moeten houden. "Als je als hacker hier wel gebruik van maakt, dan hou je je niet aan de voorwaarden, en dan is er het risico van het plegen van een strafbaar feit", zegt hij tegen Security.nl.

Floor Terra, freelance softwareontwikkelaar en blogger over onder meer ethisch hacken, vindt de richtlijn een "gigantische verbetering. Ik zie problemen als hackers meer vrijheid krijgen. Je kan namelijk niet een vrijbrief geven om zomaar te gaan hacken zolang je het resultaat maar meldt", stelt hij. Ook hij denkt dat de richtlijn verder voornamelijk is gericht op het scheppen van duidelijkheid voor organisaties. Daarin mist hij nog wel wat meer gerichte voorbeelden voor bedrijven en overheden.

'Bedrijven zullen nog fouten maken'

"Ik ben zelf nu bezig dergelijke voorbeelden te formuleren", zegt Terra tegen Webwereld. "Een voorbeeldtekst die bedrijven kunnen gebruiken op hun website bijvoorbeeld." Die duidelijkheid is hard nodig, zegt hij. "Ik verwacht dat bedrijven nog fouten zullen maken. Maar dat is ook niet erg. Het is nog erg nieuw." Inmiddels heeft Terra op zijn eigen site responsibledisclosure.nl een voorbeeldtekst staan.

In de communicatie met de melders moeten organisaties van te voren bij zichzelf te rade gaan wat ze nu eigenlijk verwachten en hoe ze daarin zelf willen staan. Terra: "Ik denk dat hiermee organisaties heel duidelijk de grenzen voor zichzelf moeten aangeven. Dat is erg belangrijk en dat is iets waar ik een goed voorbeeld voor wil geven. Zolang ze dat doen zie ik weinig risico in verwarring."

'Leidraad een hele verbetering'

Jurist Arnoud Engelfriet ondersteunt die gedachte op zijn weblog. Hij zegt dat hij de leidraad van de minister "een mooi initiatief" vindt. "En de regels klinken ook logisch en werkbaar voor een bona fide organisatie. Natuurlijk is er ruimte voor misbruik of te kwader trouw inzetten van de regels, maar het is een hele verbetering ten opzichte van het grijze gebied dat er nu is."

Hij wijst er wel op dat als een bedrijf naar aanleiding van de leidraad een eigen policy publiceert ter informatie van de melders/hackers, zij daar niet lichtzinnig over moeten denken. "De organisatie belooft in het beleid geen juridische stappen te nemen tegen de melder indien conform het beleid wordt gehandeld. En ja, zo'n belofte is juridisch bindend, je kunt een bedrijf daarmee om de oren slaan als ze alsnog aangifte gaan doen of een kort geding tegen publicatie beginnen."

Hackers mogen nog steeds naar media

De richtlijnen betekenen niet dat de ethische hackers, gewend als ze zijn geworden aan media-aandacht en -gretigheid, nu hun patronen moeten veranderen. Als zij, ondanks de vurige wens van Opstelten dat niet te doen, toch naar journalisten stappen in plaats van organisaties, zijn zij daarbij niet zonder meer strafbaar. Zolang de bepalingen in die richtlijn over de handelingen van ethisch hacken niet met voeten worden getreden, is er verder geen directe gevaar voor vervolging.

Daarnaast, zo zegt Van Gemert tegen Security.nl, wordt er bij een eventuele aangifte niet alleen door het Openbaar Ministerie bekeken of de melder zich aan de leidraad heeft gehouden, maar ook door de rechter. Zelfs als een bedrijf zich niet wil conformeren aan de regels die in de richtlijn staan.

Oordeel is aan de rechter

Volgens Van Gemert maakt het voor de rechter wel uit (als de zaak voor de rechter komt) als je je hebt gehouden aan de richtlijnen van responsible disclosure. Dat zal volgens hem de doorslag geven of er daadwerkelijk tot strafoplegging wordt overgegaan door de rechter "Ik denk wel dat dat van invloed is, maar het is aan de rechter om dat te beoordelen."