'Richtlijn voor ethische hackers geen vrijbrief'
De nieuwe overheidsrichtlijnen voor ethische hackers moeten de veiligheid van Nederland vergroten, maar zijn geen vrijbrief voor hackers om maar te doen wat ze willen. Dat liet Wil van Gemert tijdens een presentatie van de 'leidraad voor verantwoorde openbaarmaking van ICT-kwetsbaarheden' weten. Van Gemert is Directeur Cyber Security bij de NCTV.
Vorig jaar april kwam er uit de Kamer een verzoek voor een kader voor het verantwoord melden van beveiligingslekken door ethische hackers. Dat kader is nu opgesteld, maar volgens Van Gemert is de ICT-veiligheid nog steeds de verantwoordelijkheid van de betreffende organisaties en bedrijven. De leidraad is dan ook vooral bedoeld om partijen met elkaar in verband te brengen.
"De leidraad bestaat uit bouwstenen die je als organisatie zou moeten gebruiken om duidelijk te maken hoe je in toekomst zou willen omgaan als er in je bedrijf sprake van een kwetsbaarheid is."
"Het is aan het bedrijf, organisatie of overheid zelf om aan de hand van deze bouwstenen het kader te vormen voor beleid en het beleid publiekelijk en transparant uit te dragen." Organisaties kunnen op hun website melden dat ze het verantwoord melden van lekken ondersteunen. Zo weten hackers dat er op hun meldingen goed wordt gereageerd, laat Van Gemert weten.
Afspraken
"Er staat ook in de richtlijn dat als je je aan de afspraken houdt, het bedrijf in principe geen aangifte zou moeten doen. Dat is natuurlijk wel iets, een minister van Justitie die een leidraad uitgeeft waarin staat 'dit is tussen twee partijen, dit is wat mij betreft richting de politiek toe hoe je dit zou moeten doen. En als je je dan houdt aan die voorwaarden, begrijpen wij dat je geen aangifte doet'."
Van Gemert benadrukt dat dit niet de verantwoordelijkheid van het Openbaar Ministerie wegneemt om alsnog zelf een onderzoek in te stellen als daar reden toe is. In het geval van gevonden lekken bij bedrijven speelt het Nationaal Cyber Security Center een faciliterende rol. "Het is de bedoeling dat de twee partijen er zelf uitkomen", aldus Van Gemert.
Het gaat dan onder andere om de hoeveelheid tijd die de ontdekker van een lek de kwetsbare organisatie gunt. De leidraad gaat uit van 60 dagen voor een softwarelek, terwijl een hardwarematig beveiligingsprobleem binnen zes maanden moet zijn kunnen opgelost. "Dat zijn acceptabele termijnen, maar dat is afhankelijk van de aard van het probleem."
Vrijbrief
Hackers zouden nu overal kunnen inbreken om vervolgens bedrijven te vragen het op verantwoorde wijze af te handelen. Volgens Van Gemert is het echter geen vrijbrief voor hackers om maar te doen wat ze willen. "In de omschrijving van wat de melder moet doen, hebben we een lijst opgenomen van wat een evenredige wijze van handelen is." Zo mogen geen backdoors, brute-force aanvallen of social engineering worden toegepast.
"Als je als hacker hier wel gebruik van maakt, dan hou je je niet aan de voorwaarden, en dan is er het risico van het plegen van een strafbaar feit. Het gaat erom dat je met elkaar afspreekt hoe je het doet." Van Gemert ziet de acties van ethische hackers die vaak zonder het van tevoren melden systemen testen, niet als het actief binnendringen van systemen.
"Tegelijkertijd zie je dat bedrijven zich niet bewust zijn van kwetsbaarheden die wel worden aangetoond. Er is een vraag, ook vanuit de Kamer, hoe je hier goed mee omgaat. Hoe maak je een onderscheid tussen de goedwillende en kwaadwillende hackers."
"Dit is geen vrijbrief om maar te doen wat je wilt, het is een kader waarmee je als bedrijf, als je het van tevoren kenbaar maakt, duidelijk maakt dat je geinteresseerd bent om te weten wat voor kwetsbaarheden je hebt en dat je die op verantwoorde wijze gemeld wilt zien en daar op een normale manier mee omgaat."
Aangifte
Het is aan bedrijven zelf of ze de richtlijnen willen volgen, maar volgens Van Gemert is dat in hun eigen belang. Met het creëren van de richtlijnen kunnen bedrijven op hun eigen website aangeven dat ze zich hier aan willen houden. Bedrijven die zich niet aan de richtlijnen houden zouden hierdoor lastiger met beveiligingsproblemen kunnen omgaan.
In het geval een hacker inbreekt bij een organisatie die niet heeft aangegeven de 'responsible disclosure-regels' te volgen, is het verstandig om alsnog te kijken of er via de beleidsregels is gewerkt, gaat Van Gemert verder. "En dat je reageert op de meldingen die je hebt gekregen."
Als een bedrijf toch aangifte doet, ook al heeft de hacker zich aan de nu gepresenteerde richtlijn gehouden, "dan zal moeten blijken of dat wel of niet het geval is", gaat Van Gemert verder.
"De waarde van de richtlijn is dat je tussen twee instanties, een melder een organisatie, tot overeenstemming komt hoe je met een gemelde kwetsbaarheid omgaat. Op een manier dat je daar als bedrijf beter van wordt en op een manier dat de security toeneemt. Dat willen we hiermee neerzetten."
Samenleving
Toch kan het Openbaar Ministerie ambtshalve alsnog een onderzoek of vervolging instellen. "Ik denk dat het voor de rechter wel uitmaakt, als de zaak voor de rechter komt, dat als je je hebt gehouden aan wat responsible disclosure is, de mate waarin uiteindelijk dat leidt tot daadwerkelijke strafoplegging en in welke vorm dat plaatsvindt. Ik denk wel dat dan van invloed is, maar het is aan de rechter om dat te beoordelen."
"Waar het om gaat is dat je helderheid probeert te geven, die gevraagd wordt, juist in deze samenleving, omdat we zo kwetsbaar zijn, tussen partijen die daar allerlei rollen in vervullen."
Van Gemert verwacht dat de richtlijn er aan zal bijdragen dat er eerder bereidheid zal zijn bij bedrijven hoe ze hier op een goede manier mee omgaan. "En daar zit altijd een grijs veld waar de goede manier eindigt en de slechte manier begint. Dit maakt de manier voor een heel stuk helderder."
de nalatige ontwikkelaars en de verantwoordelijke organisatie.
Ik denk dat bij aanwezigheid van bepaalde lekken, bijvoorbeeld eenvoudige sql injectie en lekken waar voor de software leverancier al jaren geleden een patch heeft gemaakt maar die is niet uitgerold, je die mensen gewoon moet gaan vervolgen.
Moet je dan eens kijken hoe veilig het Nederlandse gedeelte van het internet binnen een aantal maanden zal zijn :)
stelletje nalatige @#$%^&*() ! Durf eens de kant van de goedwillende hackers te kiezen!
Nalatige beheerders en ontwikkelaars moeten gewoon oprotten, de miljoenen die ze verdient hebben aan hun prutswerk terug geven en strafrechtelijk vervolgen .
Ik denk dat je behoorlijk onervaren bent als je de schuld daar wil leggen.
Mijn ervaringen als dev:
Het moet altijd te snel af, liefst gisteren, niks ontwerp, niks security, geld is wat telt en voor jou 10 anderen.
Uiteindelijk is het gewoon de baas zelf die besluit het risico maar te nemen. En als zijn database gegijzeld/vernietigd wordt dan janken bij de politie, terwijl hij zelf schuldig is.
Je gaat toch ook niet naar de politie als je fiets is gestolen terwijl hij niet op slot stond omdat je geld voor een slot wilde besparen?
Het probleem zit hem in het feit dat software als vakgebied nog lang niet volwassen is, en de mensen die erover mogen beslissen eigenlijk ook niet.
Echte goede en veilige software is simpelweg nog niet te betalen.
Wat ik alleen jammer vind, is dat er geen wettelijk kader voor wordt neergezet. Als ethisch hacker kun je nu toch nog voor de rechter worden gedaagd, en die rechter kan die hacker toch nog gewoon veroordelen, ondanks dat die zich aan deze richtlijnen heeft gehouden. De rechter mag dat zelf uitmaken, o.b.v. de huidige wetgeving. Ik heb zelf trouwens geen idee hoe groot de kans erop is dat je toch nog veroordeelt wordt (kan Arnoud Engelfriet daar eens iets over vertellen?).
M.a.w. je loopt als ethisch hacker toch nog risico, en dat zou eigenlijk weg moeten worden genomen.
Iedereen kan meekijken en beoordelen of het kwaliteit of prutswerk was.
Veilige software maak je samen en zelden alleen.
Mijn 2 centen
Verder is de richtlijn gebakken lucht. Mijn ervaring is dat als je een lek meldt bij het bedrijf in kwestie, dat het dan vaak doodgezwegen wordt.
Wat mij betreft de volgende uitbereidingen:
1. anoniem melden bij de organisatie moet rechtsgeldig zijn.
2. indien er niets mee gedaan wordt, kan het, al dan niet anoniem, bij een meldpunt (NCSC?) gemeld worden.
3. indien er na reële tijd nog niets gedaan is, publiceert het meldtpunt openbaar dát er een lek is (maar niet wat en hoe)
4. indien er na het dubbele van deze reële tijd en dus na publicatie nóg niets gedaan is, mag het gespecificeerd naar de media, zonder risico op vervolging.
5. de richtlijnen worden leidend: indien een organisatie er van afwijkt, zal hij dat moeten verantwoorden.
Het idee dat social engineering niet mag is vreemd. Dat is vaak de zwakste schakel en daar moet de beveiliging het sterkst zijn. Dat vormt dus een belangrijk onderdeel van security tests.
Kortweg: weet iemand wanneer minister Opstelten komt met richtlijnen voor "ethisch testen van gladde banden", "ethisch testen van de overvalbestendigheid van supermarkten", "ethisch speculeren met geld van de baas (fin. instellingen)", en "ethisch testen illegaal vuurwerk"?
Kortweg: weet iemand wanneer minister Opstelten komt met richtlijnen voor "ethisch testen van gladde banden", "ethisch testen van de overvalbestendigheid van supermarkten", "ethisch speculeren met geld van de baas (fin. instellingen)", en "ethisch testen illegaal vuurwerk"?
Precies! Of het ethisch testen van de inbraakveiligheid van huizen.
Het is een eigendom van iemand anders waar wordt ingebroken. Het kan niet zo zijn dat mensen die dat doen vrij gesteld worden van vervolging, want dan heb je een groep inbrekers die kan doen wat ze willen. Ethiek is een relatief begrip. Wat het ene bedrijf onethisch vindt het ander geen probleem. Hoe zou jij het vinden als een inbreker je belt en zegt: hey ik was vannacht in je slaapkamer, maar ik heb verder niks gepakt hoor....
Laten we een site even vertalen naar een winkel. Stel dat in de winkel een kast staat met klantgegevens of andere eigendommen van klanten.
Als ik zie dat de achterdeur niet op slot zit en dat meldt, dan is er weinig aan de hand, hoewel sommige mensen in de fysieke wereld net zo ondoordacht te wwerk gaan als op internet: "Nee hoor, de deur is op slot."
Is het dan terecht dat je vervolgd wordt wanneer je voor het oog van de manager de deur opentrekt en roept "KIJK, HIJ ZIT NIET OP SLOT", puur en alleen om je eigen eigendommen die daar binnen liggen te beschermen?
In het geval van een achterdeur die niet op slot zit, is de eigenaar van die achterdeur nalatig.
in het geval van een digitale achterdeur zou dat ook moeten zijn en zou degene die de deur opentrekt (bij voorkeur in eerste instantie NIET voor het grote publiek/de media) als klokkenluider behandeld moeten worden.
Ook wanneer je een telefoontje krijgt met "Hey ik was vannacht in je slaapkamer", dan is die inbreker ineens 'slechts' een insluiper als je je deur open had staan. Emotioneel gezien niet anders, maar juridisch gezien maakt het een groot verschil.
Vergelijkingen met andere criminaliteit zoals overvallen, speculatie etc. loopt spaak omdat er geen hoger doel bereikt kan worden door het uit te voeren, behalve eigenbelang. Er zijn genoeg andere manieren om aan te tonen dat toezicht in de financiele sector niet deugt.
Beveiliging is nooit on door dring baar, het is allemaal gebaseerd op technieken en de manieren om in te breken zijn ook technieken. Het is een oneindig gevecht. Het is goed als je mensen wil helpen met hun beveiliging maar dan moeten zij het er wel mee eens zijn. Je voorbeeld met de winkel begrijp ik, alleen heb jij de keuze gemaakt om daar je gegevens te laten. Net zoals we al die lappen teksten accepteren bij verschillende digitale diensten. Als je het er niet mee eens bent kun je altijd ergens anders heen.
Met de inbreker in je slaapkamer kan het altijd nog lijken alsof de deur open is gebleven en er verder geen sporen zijn.
Het hacken kan ook eigen belang zijn, je wil toch dat het veiliger wordt. Ook is er nog het punt dat hackers het doen voor de kick of om wat voor gevoel dan ook. Ik geloof niet dat alle zo genoemde white hats het doen om de wereld te verbeteren.
Als je mensen wil helpen geloof ik best dat je op een anonieme manier het gat kan melden. Mocht er dan niks ondernomen worden kun je het altijd nog aan de media laten weten. Het is dan wel een beetje een dilemma, want je laat mensen met kwade bedoeling ook van het gat weten, maar er komt wel meer druk om het gat te dichten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
