De overheid heeft richtlijnen voor ethische hackers geopenbaard die op verantwoorde wijze lekken willen melden. Er is echter geen garantie dat hackers die zich aan deze regels houden niet vervolgd worden. Minister Opstelten van Veiligheid en Justitie beloofde de Kamer vorig jaar een richtlijn voor responsible disclosure. Het gaat dan om regels omtrent het vinden en rapporteren van lekken.
De nu gepresenteerde leidraad geldt niet alleen voor ethische hackers, maar ook voor bedrijven. Concreet betekent dit dat een organisatie publiekelijk het beleid voor responsible disclosure uitdraagt.
De organisatie en melder maken daarnaast afspraken over de termijn waarop de kwetsbaarheid verholpen zal zijn, de wijze waarop zij met elkaar zullen communiceren en over eventuele openbaarmaking en het verder inlichten van de ICT-security-community.
Lering
"Zo kunnen ook anderen lering kunnen trekken uit de kwetsbaarheid waar het om gaat. Als een organisatie eenmaal beleid heeft op dit gebied moet ook duidelijk zijn hoe zij met aangiftes omgaat en dat er geen aangifte wordt gedaan als de melder volgens afspraken heeft gehandeld."
Er zijn echter geen glasharde garanties dat een hacker niet vervolgd zal worden. Volgens de nu naar de Kamer gestuurde brief blijft de zelfstandige bevoegdheid van het Openbaar Ministerie bestaan om eventueel tot vervolging over te gaan wanneer het vermoeden bestaat dat er strafbare feiten zijn gepleegd.
Vrijbrief
Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid, laat weten dat het geen vrijbrief voor het hacken van andermans systemen is.
"Dit is geen vrijbrief om maar te doen wat je wilt, het is een kader waarmee je als bedrijf, als je het van tevoren kenbaar maakt, duidelijk maakt dat je geinteresseerd bent om te weten wat voor kwetsbaarheden je hebt en dat je die op verantwoorde wijze gemeld wilt zien en daar op een normale manier mee omgaat."
Regels
De leidraad omvat verschillende regels die tot het op verantwoorde wijze melden van beveiligingslekken moeten leiden. Hackers mogen de volgende maatregelen of activiteiten niet toepassen:
Deze posting is gelocked. Reageren is niet meer mogelijk.