De nieuwe overheidsrichtlijnen voor ethische hackers moeten de veiligheid van Nederland vergroten, maar zijn geen vrijbrief voor hackers om maar te doen wat ze willen. Dat liet Wil van Gemert tijdens een presentatie van de 'leidraad voor verantwoorde openbaarmaking van ICT-kwetsbaarheden' weten. Van Gemert is Directeur Cyber Security bij de NCTV.
Vorig jaar april kwam er uit de Kamer een verzoek voor een kader voor het verantwoord melden van beveiligingslekken door ethische hackers. Dat kader is nu opgesteld, maar volgens Van Gemert is de ICT-veiligheid nog steeds de verantwoordelijkheid van de betreffende organisaties en bedrijven. De leidraad is dan ook vooral bedoeld om partijen met elkaar in verband te brengen.
"De leidraad bestaat uit bouwstenen die je als organisatie zou moeten gebruiken om duidelijk te maken hoe je in toekomst zou willen omgaan als er in je bedrijf sprake van een kwetsbaarheid is."
"Het is aan het bedrijf, organisatie of overheid zelf om aan de hand van deze bouwstenen het kader te vormen voor beleid en het beleid publiekelijk en transparant uit te dragen." Organisaties kunnen op hun website melden dat ze het verantwoord melden van lekken ondersteunen. Zo weten hackers dat er op hun meldingen goed wordt gereageerd, laat Van Gemert weten.
Afspraken
"Er staat ook in de richtlijn dat als je je aan de afspraken houdt, het bedrijf in principe geen aangifte zou moeten doen. Dat is natuurlijk wel iets, een minister van Justitie die een leidraad uitgeeft waarin staat 'dit is tussen twee partijen, dit is wat mij betreft richting de politiek toe hoe je dit zou moeten doen. En als je je dan houdt aan die voorwaarden, begrijpen wij dat je geen aangifte doet'."
Van Gemert benadrukt dat dit niet de verantwoordelijkheid van het Openbaar Ministerie wegneemt om alsnog zelf een onderzoek in te stellen als daar reden toe is. In het geval van gevonden lekken bij bedrijven speelt het Nationaal Cyber Security Center een faciliterende rol. "Het is de bedoeling dat de twee partijen er zelf uitkomen", aldus Van Gemert.
Het gaat dan onder andere om de hoeveelheid tijd die de ontdekker van een lek de kwetsbare organisatie gunt. De leidraad gaat uit van 60 dagen voor een softwarelek, terwijl een hardwarematig beveiligingsprobleem binnen zes maanden moet zijn kunnen opgelost. "Dat zijn acceptabele termijnen, maar dat is afhankelijk van de aard van het probleem."
Vrijbrief
Hackers zouden nu overal kunnen inbreken om vervolgens bedrijven te vragen het op verantwoorde wijze af te handelen. Volgens Van Gemert is het echter geen vrijbrief voor hackers om maar te doen wat ze willen. "In de omschrijving van wat de melder moet doen, hebben we een lijst opgenomen van wat een evenredige wijze van handelen is." Zo mogen geen backdoors, brute-force aanvallen of social engineering worden toegepast.
"Als je als hacker hier wel gebruik van maakt, dan hou je je niet aan de voorwaarden, en dan is er het risico van het plegen van een strafbaar feit. Het gaat erom dat je met elkaar afspreekt hoe je het doet." Van Gemert ziet de acties van ethische hackers die vaak zonder het van tevoren melden systemen testen, niet als het actief binnendringen van systemen.
"Tegelijkertijd zie je dat bedrijven zich niet bewust zijn van kwetsbaarheden die wel worden aangetoond. Er is een vraag, ook vanuit de Kamer, hoe je hier goed mee omgaat. Hoe maak je een onderscheid tussen de goedwillende en kwaadwillende hackers."
"Dit is geen vrijbrief om maar te doen wat je wilt, het is een kader waarmee je als bedrijf, als je het van tevoren kenbaar maakt, duidelijk maakt dat je geinteresseerd bent om te weten wat voor kwetsbaarheden je hebt en dat je die op verantwoorde wijze gemeld wilt zien en daar op een normale manier mee omgaat."
Aangifte
Het is aan bedrijven zelf of ze de richtlijnen willen volgen, maar volgens Van Gemert is dat in hun eigen belang. Met het creëren van de richtlijnen kunnen bedrijven op hun eigen website aangeven dat ze zich hier aan willen houden. Bedrijven die zich niet aan de richtlijnen houden zouden hierdoor lastiger met beveiligingsproblemen kunnen omgaan.
In het geval een hacker inbreekt bij een organisatie die niet heeft aangegeven de 'responsible disclosure-regels' te volgen, is het verstandig om alsnog te kijken of er via de beleidsregels is gewerkt, gaat Van Gemert verder. "En dat je reageert op de meldingen die je hebt gekregen."
Als een bedrijf toch aangifte doet, ook al heeft de hacker zich aan de nu gepresenteerde richtlijn gehouden, "dan zal moeten blijken of dat wel of niet het geval is", gaat Van Gemert verder.
"De waarde van de richtlijn is dat je tussen twee instanties, een melder een organisatie, tot overeenstemming komt hoe je met een gemelde kwetsbaarheid omgaat. Op een manier dat je daar als bedrijf beter van wordt en op een manier dat de security toeneemt. Dat willen we hiermee neerzetten."
Samenleving
Toch kan het Openbaar Ministerie ambtshalve alsnog een onderzoek of vervolging instellen. "Ik denk dat het voor de rechter wel uitmaakt, als de zaak voor de rechter komt, dat als je je hebt gehouden aan wat responsible disclosure is, de mate waarin uiteindelijk dat leidt tot daadwerkelijke strafoplegging en in welke vorm dat plaatsvindt. Ik denk wel dat dan van invloed is, maar het is aan de rechter om dat te beoordelen."
"Waar het om gaat is dat je helderheid probeert te geven, die gevraagd wordt, juist in deze samenleving, omdat we zo kwetsbaar zijn, tussen partijen die daar allerlei rollen in vervullen."
Van Gemert verwacht dat de richtlijn er aan zal bijdragen dat er eerder bereidheid zal zijn bij bedrijven hoe ze hier op een goede manier mee omgaan. "En daar zit altijd een grijs veld waar de goede manier eindigt en de slechte manier begint. Dit maakt de manier voor een heel stuk helderder."
Deze posting is gelocked. Reageren is niet meer mogelijk.