Op 14 juni 2013 vond dit debat plaats bij Waag Society. Dit debat werd georganiseerd door Netwerk Democratie, Internet Society en Waag Society.
Aan het eind van het debat, kwamen de aanwezige experts en het publiek met ideeën verzameld om de huidige Richtlijn Ethisch Hacken aan te scherpen. Het debat werd gemodereerd door Niels Huijbregts, woordvoerder van XS4ALL internet BV. Het panel van de avond bestond uit: Gerben Klein Baltink (secretaris Cyber Security Raad), Astrid Oosenbrug (kamerlid PvdA), Brenno de Winter (onderzoeksjournalist), Jurre van Bergen (Black Mountain Security – hacker), Jetse Sprey (Versteeg Wigman Sprey Advocaten).
Er is een groeiende groep ethische hackers, die de beveiliging van kritieke systemen test en de lekken vindt zodat deze gedicht kunnen worden. Zij laten met hun ‘hacks’ zien hoe de beveiligingskwetsbaarheden weggenomen kunnen worden. Ze zijn onontbeerlijk voor het vergroten van de veiligheid en de betrouwbaarheid van het internet en alles wat ermee verbonden is. Een ultieme vorm van burgerparticipatie.
Richtlijn Ethisch Hacken
Om onderscheid te kunnen maken tussen ‘goed’ en ‘fout’ hacken heeft de overheid de Richtlijn voor Ethisch Hacken opgesteld. Vanuit de hackerswereld ontstond echter felle kritiek op deze richtlijn. Zo wordt in detail uitgelegd wat een hacker niet mag doen, waarbij ook gebruikelijke technieken in de ban worden gedaan. Tegelijkertijd zijn er weinig verplichtingen voor de partij die de beveiligingsfouten maakt. Bovendien is het niet helder of hackers nog steeds strafbaar zijn als partijen afspreken geen aangifte te doen. Wat vinden de experts hiervan?
Responsible disclosure
Tijdens de avond werd veel gesproken over responsible disclosure, oftewel het op verantwoorde wijze melden van beveiligingslekken. Hoewel hackers hiervoor in theorie niet vervolgd zouden moeten worden, bestaat hier in de praktijk geen garantie voor. Vaak komt het neer op afspraken tussen de ontdekker van het lek en het getroffen bedrijf in kwestie. En die zijn dus niet voor iedereen gelijk. Volgens Gerben Klein Baltink zou ethisch hacken eigenlijk niet nodig moeten zijn, maar heeft het momenteel wel degelijk een functie: “Waar een veilig systeem potdicht zit en de communicatie tussen mensen belemmert, brengt een open systeem weer risico’s met zich mee. Het is zoeken naar een balans tussen beide uitersten. Ethisch hacken helpt zeker om deze tegenstelling bespreekbaar te maken.”
Tweede Kamer
Omdat er in de Tweede Kamer veel vooroordelen bestaan ten opzichte van hackers is het onderwerp ethisch hacken lastig bespreekbaar. Astrid Oosenburg ziet het dan ook als haar taak om dit gesprek in de Tweede Kamer te entameren en ervoor te zorgen dat het gesprek op een juiste manier gevoerd wordt. Dit is van groot belang omdat uiterlijk in 2017 bedrijven en burgers alle zaken die ze met de overheid doen (zoals het aanvragen van een vergunning) digitaal moeten kunnen afhandelen. En inzicht in gaten in de veiligheid wordt daarmee een stuk belangrijker.
Als journalist kun je je beroepen op het feit dat je als journalist problemen en misstanden mag aankaarten – hackers kunnen dat niet.
Te hardhandig
“Als journalist kun je je beroepen op het feit dat je als journalist problemen en misstanden mag aankaarten – hackers kunnen dat niet”, stelt Brenno de Winter. Hij vindt het slecht omspringen met privacygevoelige gegevens een misstand. En hij geeft aan dat het responsible disclosure beleid op dit moment een eenvoudige tool is om mensen de mond te snoeren en problemen onder het tapijt te schuiven. Zo weet hij te vertellen dat er actief beleid gevoerd wordt door het ministerie van Justitie, waarbij bedrijven ertoe aan worden gezet om mensen die misstanden aangeven toch aan te klagen. Hierdoor worden hackers te hardhandig aangepakt.
Overleg
Jurre van Bergen vindt dat de richtlijn op dit moment geen zin heeft. Hackers worden vervolgd, zelfs als ze ter goeder trouw zijn. Hij ziet wel verbetering, bijvoorbeeld bij het Openbaar Ministerie en het CSR, waar meer geluisterd wordt naar hackers. “We moeten als hacker-community niet teveel gaan pushen, maar in overleg treden. We hebben elkaar nodig”, zegt hij. Als positief voorbeeld geeft hij het feit dat de hacker-community zelf een ethisch kader voor hacken heeft geschreven.
Open staan
Jetse Sprey vindt dat bedrijven er niet mee weg zouden moeten komen als ze fouten maken bij hun beveiliging. Daar moet over geschreven kunnen worden. Het risico op slechte publiciteit zorgt ervoor dat bedrijven aandacht krijgen voor lekken. “Het deugt niet wanneer gegevens niet goed beschermd worden”, zegt hij stellig. Bedrijven kunnen een richtlijn voor ethisch hacken op hun website plaatsen, om aan te geven dat zij open staan voor feedback maar dat is niet voldoende. Ook in de wet/handhaving moet ruimte komen voor ethisch hacken.
Richtlijnen
Aan het einde van de avond zijn in samenspraak met de zaal de volgende aanbevelingen opgesteld ter verbetering van de Richtlijn Ethisch Hacken.
1. Bij de beoordeling van hacken zou doelbinding een centrale plaats moeten krijgen. Doorslaggevend wordt dan waarom iemand hackt. Een ethische hack moet anders beoordeeld worden dan een hack waarbij iemand op eigen gewin uit is.
2. Het is van groot belang om de beeldvorming te veranderen over (ethisch) hackers.
3. Er worden nu minimale eisen gesteld kunnen worden aan de beveiliging van servers van de overheid en van bedrijven. Die regels moeten beter gehandhaafd worden.
4. Bedrijven die het aankunnen moeten proportioneel hun beveiliging op orde hebben. Volledige veiligheid bestaat niet.
5. Standaardisering van security moet afgedwongen worden (ook al brengt dit hoge kosten met zich mee).
6. Het opstellen en naleven van security richtlijnen is zeer belangrijk.
7. Er zou budget ter beschikking gesteld kunnen worden om banken te ‘behacken’.
8. Er zou een keurmerk voor het beveiligingsniveau van websites moeten komen.
