Ethiek

Wat doe je wanneer je een sleutelbos in iemands voordeur ziet hangen? Aanbellen, en de bewoner op het probleem wijzen: ‘Iedereen kan zo uw huis in, dat zal niet de bedoeling zijn.’ Is er niemand thuis, dan haal je veiligheidshalve de sleutels uit het slot en gooit ze –met een net briefje erbij – in de brievenbus. Dank zal uw deel zijn.

Wanneer de deuren van een computersysteem open staan, is het lastiger. Terwijl jij hem erop wijst dat er toch heus een touwtje uit de brievenbus hangt of sleutels in het slot steken, ontkent de eigenaar meestal glashard dat hij iets verkeerd heeft gedaan. Met pech beschuldigt hij je van inbraak, of doet zelfs aangifte. De boel beter beveiligen weigert hij: dat vindt-ie te duur, te omslachtig en bovendien mógen andere mensen sowieso toch niet naar binnen? Je hoort helemaal niet aan dat touwtje te trekken, al hangt het uit de brievenbus!

Het gevolg: de boel blijft wagenwijd openstaan. Ook voor mensen met minder scrupules. Wat nu juist de reden is dat nette hackers melding willen maken van dergelijke open deuren.

Omdat het in ons aller belang is dat computersystemen beter worden beveiligd en het geen pas geeft de boodschapper te bestraffen, drong de Tweede Kamer aan op een richtlijn voor zorgvuldig hacken. Begin januari kwam minister Opstelten eindelijk met een voorstel. Ethische hackers mogen geen onnodige schade aanrichten (allicht), ze mogen geen overmatige moeite doen om binnen te komen, en ze mogen het lek niet openbaar maken totdat het bedrijf of de instantie in kwestie het gat heeft gedicht.

De nalatige instanties hoeven niks te doen, behalve ‘tijdig reageren’ op zo’n melding. Ze mogen nog steeds aangifte doen van inbraak, hoe zorgvuldig de hacker ook optrad, of kunnen het probleem simpelweg ontkennen. In het voorstel liggen alle plichten en risico’s bij de hackers; de lekkende instanties gaan vrijuit.

Beter had Opstelten nagedacht hoe hij bedrijven en instanties kan aanzetten tot goed gedrag. Bijvoorbeeld door te eisen dat zij voortaan elk datalek en elke hack (zowel goedschikse als kwaadschikse) aan een centraal meldpunt doorgeven. Wie een melding van een beveiligings- of datalek ontvangt, dient dat lek binnen een paar dagen te repareren, of anders het bewuste systeem tijdelijk voor het publiek uit te schakelen. Details over verholpen lekken worden kort nadien intern door het Nationaal Cyber Security Centrum gepubliceerd, zodat ook systeembeheerders elders er lering uit kunnen trekken.

Strafrechtelijk toont Opstelten weinig durf. Hij had kunnen beloven dat ethische hackers die volgens de regels der kunst een lek in de systemen van de overheid zélf melden, in principe niet worden vervolgd. Ook nette hacks die een breder publiek belang dienen, horen te worden gevrijwaard.

Over twee weken moet iemand voorkomen die liet zien dat een gezondheidslab zo wrak was als een natte schoenendoos. Daarvan wordt niemand wijzer.

Aantal reacties: 12

  1. Lonneke ≡ 16 Jan 2013 ≡ 15:52

    De vergelijking met de sleutelbos in de huisdeur gaat in zoverre mank dat in het huis alleen de spullen van de slordige persoon te stelen zijn; de datalekkende slordevossen berokkenen echter nadeel aan de eigenaren van de gegevens, die hun kostbaarheden daar in goed vertrouwen hebben gestald. Lijkt meer op de recente schilderijenroof in de Kunsthal…

  2. Spaink ≡ 16 Jan 2013 ≡ 16:20

    Lonneke: Je hebt gelijk dat er vaak (persoons)gegevens van derden te vinden zijn achter zo’n open deur. Maar er zijn ook veel interne gegevens van het bedrijf zelf. ‘t Is een mix van allerlei data, zodat geen enkele metafoor helemaal past…

  3. Johan ≡ 16 Jan 2013 ≡ 19:40

    Wel heb je ooit, sta ik in de tuin achter een struik te werken gooi jij m’n voordeur dicht en de sleutels naar binnen. En de slotenmakeris al gesloten. Kan ik in jouw bed slapen vannacht want buiten slpen met -10 zie ik niet zo zitten…

    :-) :-)

  4. sjaak ≡ 16 Jan 2013 ≡ 19:53

    Ach, wat verwacht men ook van Ivo, zit er veel in?

    -

  5. thian ≡ 16 Jan 2013 ≡ 21:52

    en ik heb niet eens een brievenbus in mijn deur
    wel bij de algemene voordeur een flink stuk zoeken verder
    maar dan moet ik mijn brievenbus sleutel wel bij me hebben
    om er bij te geraken

    nee ik vind ivo ook niet de slimste
    een bedankje voor de vinder van het gat
    die zichzelf niet verrijkt door de info door te verkopen etc
    maar wel even aan klopt ,
    (euh niet zo vaak als mijn buurvrouw
    met de melding ik ben je buurvrouw wil je even naar de cv kijken)
    zou netter zijn

  6. Spaink ≡ 17 Jan 2013 ≡ 02:05

    Johan, laat jij altijd je sleutels in de voordeur zitten wanneer je in de achtertuin werkt? Da’s dan knap dom… :)

  7. Johan ≡ 17 Jan 2013 ≡ 02:55

    Nee, ‘s zomers laat ik gewoon de voor- of achterdeur openstaan (niet beide tegelijk, dan slaan ze dicht door de tocht) zodat de katten vrij in- en uit kunnen lopen. In een dorp gaat dat gelukkig nog. Ik laat soms wel de sleutel in de deur zitten maar alleen als ik naar de brievenbus loop als het koud is. Dan kan ik de voordeur altijd zien.

  8. HenK ≡ 17 Jan 2013 ≡ 02:56

    Leuk, zo’n metafoor met een keurige passant, die eerst aanbelt en daarna de sleutelbos, met een net briefje, in je brievenbus deponeert.
    Ik heb er ook één… Je wordt ‘s nachts wakker… je ziet dat het licht in een andere kamer wordt aangedaan en hoort iemand rondlopen. Aangezien je mobieltje ook in die ander kamer ligt en je niet bang ben aangelegd, besluit je, ‘gewapend’ met een hockeystick de confrontatie aan te gaan…
    Verrassing… in de andere kamer zit een jongeman met een koffertje, die zegt geen kwaad in de zin te hebben… integendeel, hij is bij je naar binnengekomen om je te wijzen op het feit, dat jouw normale deurslot je onvoldoende beveiligd tegen inbrekers en dat hij je, als lid van lockpickers-club eventueel graag wil adviseren bij het kiezen van afdoende beveiliging.

    Ben je dan blij met die waarschuwing of heb je toch de bijna onbedwingbare neiging om de ‘keurige’ adviseur kennis te laten maken met de hockeystick?

    Hackers en lockpickers… voor de één alleen maar keurige lieden die het beste met iedereen voorhebben… voor de ander types die je liever niet over de vloer hebt… maar daarover hadden ‘we’ het ook al eerder onder deze column http://www.spaink.net/2012/07/10/hackwinkels/#comments

    Geen enkele computer, geen enkel huis is gegarandeerd 100% inbreker-proof en dat heeft weinig te maken met in het slot achtergelaten sleutels, maar met mensen die er hun hobby of hun ‘werk’ van gemaakt hebben om dat aan te tonen.

    Geen moreel oordeel over goedwillende hackers en lockpickers, maar ik word er liever niet dan wel mee geconfronteerd. Want ook hierbij geldt dat de ‘slechten’ niet altijd zwarte hoeden dragen of maskers en gestreepte shirts met een nummer en ook de gelegenheid de dief kan maken…

  9. Frank ≡ 17 Jan 2013 ≡ 09:57

    Deze “discussie” wordt 15 jaar te laat gevoerd.

    Inbreken in een computersysteem is niet moeilijk en met 25 jaar ervaring in de ICT, kom ik op elk systeem.

    Elk systeem? Nee niet elk systeem. Het is mogelijk om systemen zo te beveiligen, dat het alleen onder laboratorium omstandigheden mogelijk is in te breken.

    Maar er is meer mogelijk. Wat doet de overheid of grote bedrijven aan het opsporen van hackers?
    Het is heel eenvoudig je netwerk zo op te bouwen, dat je met “tap’s” een hacker zeer eenvoudig kan opsporen. Of door de infrastructuur goed op te zetten, het hacken onmogelijk te maken.

    Maar ja, dat kost geld en dan wordt het een afweging of je een touwtje door de brievenbus steekt of een extra sleutel laat maken, die je bij de buren laat liggen, een RFID deuropener gebruikt of een deuropener met een vingerafdruklezer…..

  10. JPaul ≡ 17 Jan 2013 ≡ 10:24

    Henk Krol kreeg, naar eigen zeggen, nul op het rekest toen hij het bedrijf in kennis wilde stellen van het aangetroffen lek in beveiliging / afscherming van de database.
    Pas na publicatie door Omroep Brabant reageerde “Diagnostiek voor U“, de firma in kwestie; onder meer met een eis tot schadevergoeding die kan oplopen tot twee ton. Wegens computervredebreuk en reputatieschade.
    Saillant detail: twee ton boete vanwege vergaande slordigheid, opgelegd door het CBP (College Bescherming Persoonsgegevens), is wat “Diagnostiek voor U” boven het hoofd hangt.

  11. edwin emanuel posse ≡ 18 Jan 2013 ≡ 23:50

    @Karin : “Strafrechtelijk toont Opstelten weinig durf”

    Durf verwachten van Opstelten,,tsja,,,

  12. Tartarus ≡ 24 Jan 2013 ≡ 11:45

    Ik denk dat Facebook het goede en makkelijk uitvoerbare voorbeeld geeft.
    Mensen motiveren werkt over het algemeen beter dan straffen.

    http://webwereld.nl/nieuws/111310/facebook-beloont-hackaanvallen-op-eigen-netwerk.html

Trackbacks & Pingbacks 1

  1. From Ethisch hacken - Sargasso on 19 Jan 2013 at 10:00

    […] gezondheidslab zo wrak was als een natte schoenendoos. Daarvan wordt niemand wijzer.Deze column van Karin Spaink verscheen afgelopen week in Het Parool. Tags datalek, ethisch hacken, hacken Twitter FacebookGD […]

Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *

Hou me per e-mail op de hoogte van nieuwe reacties op dit artikel.
      (U kunt zich hier abonneren zonder zelf te hoeven reageren.)