Ethiek

Wat doe je wanneer je een sleutelbos in iemands voordeur ziet hangen? Aanbellen, en de bewoner op het probleem wijzen: ‘Iedereen kan zo uw huis in, dat zal niet de bedoeling zijn.’ Is er niemand thuis, dan haal je veiligheidshalve de sleutels uit het slot en gooit ze –met een net briefje erbij – in de brievenbus. Dank zal uw deel zijn.

Wanneer de deuren van een computersysteem open staan, is het lastiger. Terwijl jij hem erop wijst dat er toch heus een touwtje uit de brievenbus hangt of sleutels in het slot steken, ontkent de eigenaar meestal glashard dat hij iets verkeerd heeft gedaan. Met pech beschuldigt hij je van inbraak, of doet zelfs aangifte. De boel beter beveiligen weigert hij: dat vindt-ie te duur, te omslachtig en bovendien mógen andere mensen sowieso toch niet naar binnen? Je hoort helemaal niet aan dat touwtje te trekken, al hangt het uit de brievenbus!

Het gevolg: de boel blijft wagenwijd openstaan. Ook voor mensen met minder scrupules. Wat nu juist de reden is dat nette hackers melding willen maken van dergelijke open deuren.

Omdat het in ons aller belang is dat computersystemen beter worden beveiligd en het geen pas geeft de boodschapper te bestraffen, drong de Tweede Kamer aan op een richtlijn voor zorgvuldig hacken. Begin januari kwam minister Opstelten eindelijk met een voorstel. Ethische hackers mogen geen onnodige schade aanrichten (allicht), ze mogen geen overmatige moeite doen om binnen te komen, en ze mogen het lek niet openbaar maken totdat het bedrijf of de instantie in kwestie het gat heeft gedicht.

De nalatige instanties hoeven niks te doen, behalve ‘tijdig reageren’ op zo’n melding. Ze mogen nog steeds aangifte doen van inbraak, hoe zorgvuldig de hacker ook optrad, of kunnen het probleem simpelweg ontkennen. In het voorstel liggen alle plichten en risico’s bij de hackers; de lekkende instanties gaan vrijuit.

Beter had Opstelten nagedacht hoe hij bedrijven en instanties kan aanzetten tot goed gedrag. Bijvoorbeeld door te eisen dat zij voortaan elk datalek en elke hack (zowel goedschikse als kwaadschikse) aan een centraal meldpunt doorgeven. Wie een melding van een beveiligings- of datalek ontvangt, dient dat lek binnen een paar dagen te repareren, of anders het bewuste systeem tijdelijk voor het publiek uit te schakelen. Details over verholpen lekken worden kort nadien intern door het Nationaal Cyber Security Centrum gepubliceerd, zodat ook systeembeheerders elders er lering uit kunnen trekken.

Strafrechtelijk toont Opstelten weinig durf. Hij had kunnen beloven dat ethische hackers die volgens de regels der kunst een lek in de systemen van de overheid zélf melden, in principe niet worden vervolgd. Ook nette hacks die een breder publiek belang dienen, horen te worden gevrijwaard.

Over twee weken moet iemand voorkomen die liet zien dat een gezondheidslab zo wrak was als een natte schoenendoos. Daarvan wordt niemand wijzer.


Aantal reacties: 12