Ethisch hacken: in principe niet strafbaar en steeds populairder
Met de enorme toename van computersystemen neemt ook de interesse van mensen toe die willen kijken of deze te kraken zijn. Deze zogenoemde hackers gebruiken gevoeligheden in software om binnen te dringen in de computers van bedrijven, bijvoorbeeld een bank.
Dat is illegaal. Maar er zijn ook hackers die niet zozeer een systeem willen binnendringen, maar graag het bedrijf erop willen wijzen dat het lek bestaat. Dit zijn 'ethische hackers'. Sinds een aantal jaren is er in Nederland een richtlijn die ervoor zorgt dat zij in principe niet worden vervolgd.
De regels
Om strafvervolging te voorkomen moeten hackers aan een aantal voorwaarden voldoen. Deze staan beschreven in de Leidraad van Responsible Disclosure, een document dat het Nationaal Cyber Security Centrum (NCSC), heeft opgesteld. Dit centrum is onderdeel van het ministerie van Veiligheid en Justitie. Nederland hoopt met deze leidraad andere landen te inspireren, als aanstaande donderdag de Global Conference on Cyberspace in Den Haag begint.
Zo staat in het document dat deze hacks bedoeld moeten zijn om de veiligheid van ict-systemen te verbeteren en gevoelige plekken op een verantwoorde wijze te melden en af te handelen.
Ook adviseert het NCSC dat organisaties, zoals KLM of KPN, het gemakkelijk moeten maken om kwetsbaarheden te melden.
De melder moet op zijn of haar beurt het lek zo snel mogelijk melden. En dat melden moet op een vertrouwelijke manier gebeuren, zodat criminelen er geen misbruik van kunnen maken.
Uniek
Nederland is met deze leidraad uniek in de wereld, vertelt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit. "Er zijn wel andere landen waar ethische hackers actief zijn, zoals Amerika, maar daar zijn geen richtlijnen vanuit de overheid."
De reden dat die leidraad er in Nederland al wel is, heeft volgens Jacobs met onze cultuur te maken. "Nederland kent een overlegcultuur, wij gaan in tegenstelling tot Amerika en Groot-Brittannië niet graag de confrontatie aan."
Goede bedoelingen
Een van die ethische hackers is Wouter Slotboom. Wat voor hacks hij uitvoert en bij welke bedrijven wil hij niet zeggen. Slotboom wil wel zeggen dat hij als zelfstandige hacker in opdracht van bedrijven op zoek gaat naar zwakke plekken in een systeem.
Ook ontdekt hij wel eens spontaan een lek. "Stel dat ik op een website inlog en het vermoeden krijg dat daar een fout in zit, dan check ik dat door bijvoorbeeld de url een letter of een cijfer te veranderen." In het begin leverde dit nog wel eens confrontatie op met een bedrijf, vertelt hij: "Bedrijven willen niet altijd geloven dat je goede bedoelingen hebt. Gelukkig gaat dat nu beter."
Beloningen
Sommige bedrijven maken het zelfs aantrekkelijk om systemen te hacken. Zoals internetgigant Google. Het bedrijf looft geld uit aan hackers die gevoelige plekken blootleggen in hun systemen. Recentelijk beloofde het bedrijf 75.000 dollar te geven aan degene die in staat zou zijn Google Chrome te hacken in Windows 8.1.
Slotboom heeft daar zelf geen ervaring mee. Wel erkent hij dat het heel effectief kan werken voor beide kanten. "Voor bedrijven zijn dit goedkope medewerkers die alleen betaald krijgen als ze iets vinden en hackers krijgen betaald voor wat ze doen."
Volgens Jacobs is er een ware industrie ontstaan rond het oplossen van lekken bij bedrijven in Nederland. "Onder meer vanuit India zijn veel hackers actief die een lek melden en gelijk hun bankrekeningnummer erbij vermelden."
Toch geldt dit niet voor alle hackers, stelt Slotboom: "Veel hackers doen het voor de eer, zij hoeven er helemaal niks voor te hebben."
Garantie?
Ondanks de richtlijn stelt Slotboom dat het soms nog best spannend is of hij als hacker wordt vervolgd. Zeker omdat bedrijven nog wel eens met vervolging dreigen. De richtlijnen zouden daar best wat duidelijker in mogen zijn, vindt hij.
Volgens Jacobs is het sinds de richtlijn nog niet voorgekomen dat ethische hackers die zich eraan houden door het Openbaar Ministerie worden vervolgd. Een woordvoerder van het ministerie van Veiligheid en Justitie laat weten dat de huidige richtlijnen succesvol zijn en voorlopig zo zullen blijven.
