image

"Klokkenluiderbescherming hackers ongewenst"

vrijdag 23 september 2011, 10:02 door Redactie, 5 reacties

Het plan van PvdA-Kamerlid Pierre Heijnen om hackers een klokkenluiderstatus te geven is onnodig en ongewenst. Dat stelt Milica Antic van advocatenkantoor SOLV. Hackers die nu op websites beveiligingslekken vinden zouden door de eigenaar vervolgd kunnen worden. "Klokkenluiders moeten beschermd worden en niet achtervolgd. Ze leggen immers het falen van ICT-systemen bloot", aldus Heijnen tegenover Webwereld op maandag.

Volgens Antic doen hackers nuttig werk, maar is het inbreken in beveiligde databanken teneinde een veiligheidslek aan te tonen strikt genomen nog steeds een misdrijf. Artikel 138ab van het Wetboek van Strafrecht bepaalt dat computervredebreuk kan worden gestraft met een gevangenisstraf van maximaal een jaar of een geldboete van 19.000 euro.

Straf
"De PvdA wil juist voorkomen dat hackers die goed werk doen een gevangenisstraf boven het hoofd hangt. Op het eerste gezicht een sympathiek plan, de PvdA zal daar vast stemmen mee winnen. Maar in mijn ogen onnodig en zelfs onwenselijk", merkt Antic op. Door een speciale wet zou misbruik namelijk op de loer liggen.

"Om dit te voorkomen zou de wet heel gedetailleerd moeten beschrijven onder welke omstandigheden hackers vrijuit gaan. Maar daar is een wet niet voor, dat moet aan de rechter worden overgelaten die veel beter geëquipeerd is om op detailniveau de wet toe te passen." Antic benadrukt dat wetten statisch zijn en rechters flexibel. Daarnaast zouden hackers die lekken melden toch al niet veel gevaar lopen om in de gevangenis te belanden. "Want als zij al worden vervolgd door het OM zal de rechter ze waarschijnlijk vrij spreken of geen straf opleggen."

Proefballon
Volgens Antic is het voorstel van de PvdA weer een voorbeeld van hoe de waan van de dag in Nederland regeert. "Een parlementariër leest wat in het nieuws en hup, er wordt een proefballonnetje voor een nieuwe wet opgelaten. Ik spreek de hoop uit dat wetgeving doordacht en na goede voorbereiding tot stand komt, en niet een simpele reactie is op een nieuwsbericht."

Reacties (5)
23-09-2011, 10:22 door Anoniem
Exploits for sale!!!

Greetingz,
Jacco
23-09-2011, 10:50 door Anoniem
De hackercommunity is het volledig met Mevrouw Antic eens,

Elke wet moet pas aangenomen worden nadat deze goed doordacht is. Het zelfde zou moeten gelden voor software waarin de gegevens van duizenden burgers wordt opgeslagen. Waar wetten altijd nog door een rechter geïnterpreteerd kunnen worden om zo alsnog de juiste keuze te maken is er bij software nooit zo'n moment en een lek hierin alleen geïnterpreteerd door de software zelf.

Een gehackt systeem lijdt veels te vaak tot een lek van gegevens van duizenden onschuldige burgers, iets wat niet meer teruggedraaid kan worden. Daarom heeft de wereld elke 'hacker die ter goeder trouw is' nodig.

Zolang zelfs gerenommeerd onderzoeksjournalisten als Brenno de Winter hun vrijheid niet zeker zijn en aangeklaagd na het aantonen van een lek in een landelijk syteem dat voor worden zal er geen weldenkend mens zijn eigen vrijheid op het spel willen zetten om deze misstanden aan te kaarten en blijven alleen de echte criminele over welke de keuze voor winst allang gemaakt hebben.
23-09-2011, 11:56 door Anoniem
Advocate Antic zegt diplomatiek dus eigenlijk dat rechters verstandelijk geen beslissing kunnen nemen wie wel of geen klokkenluider zou zijn? Want hoe vaag wil je artikel 5 van de wegenverkeerswet hebben, terwijl geen rechter een probleem heeft om te bepalen wie er wel of niet schuldig is. Een wetgeving rond klokkenluiders hoeft helemaal niet gedetailleerd of ingewikkeld te zijn in wat we er onder verstaan.

Zou het niet zo zijn dat Antic toevallig advocate is die een leuke betaling krijgt om personen te verdedigen die als ISP of eigenaar van een webwinkel er een flinke puinzooi van maken wat betreft omgang met persoonsgegevens van klanten en ze het erg lastig gaat krijgen wanneer klokkenluiders makkelijk haar klanten in discrediet kunnen brengen...
23-09-2011, 15:34 door Anoniem
Door Anoniem: Zou het niet zo zijn dat Antic toevallig advocate is die een leuke betaling krijgt om personen te verdedigen die als ISP of eigenaar van een webwinkel er een flinke puinzooi van maken wat betreft omgang met persoonsgegevens van klanten en ze het erg lastig gaat krijgen wanneer klokkenluiders makkelijk haar klanten in discrediet kunnen brengen...

Lees het artikel onder de link SOLV eens helemaal door. Daarin wordt uitgebreid ingegaan over het hoe en waarom waarbij tevens de memorie van toelichting van de huidige wetgeving wordt aangehaald:

Quote
De idee dat een hacker vrijuit zou moeten gaan indien het slachtoffer van de inbreuk op de hoogte stelt is niet nieuw. Al in 1990 werd hier bij de strafbaarstelling van hacken over nagedacht en afgewezen. In de Memorie van Toelichting (Kamerstukken II 1989-1990, 21 551, nr. 3) wordt door de toenmalige Minister van Justitie op pagina 17 hierover het volgende opgemerkt:

'Een dergelijk systeem kan worden verdedigd op grond van de gedachte dat onder deze omstandigheden de "hacker" een nuttige functie vervult, daar hij de beheerder van het computersysteem aldus behulpzaam is bij het ontdekken van mogelijke gebreken in de beveiliging. Toch heb ik daarvan afgezien daar een dergelijke benadering onvoldoende duidelijk maakt dat het inbreken in een computer onvoorwaardelijk niet is toegestaan. Het zou bovendien uitnodigen tot het inbreken in een computer in de verwachting dat bij dreigende ontdekking van het feit nog altijd een strafuitsluitende omstandigheid kan worden geschapen.'

De toenmalige minister betoogt dus dat van een dergelijke regeling een verkeerd signaal uitgaat en het bovendien het onwenselijke effect creëert dat alle verdachten een beroep zullen doen op de strafuitsluitingsgrond. Ik denk dat dit terechte overwegingen zijn. Unquote
23-09-2011, 16:32 door Anoniem
Twee dagen geleden stond er een vergelijkbare reactie op webwereld.nl. Ook die reactie ging eraan voorbij dat internet geen onbewegelijk medium is en ook deze mevrouw, gespeend van relevante ICT kennis/ervaring, mist het punt volledig. Daarnaast is een onvolledige en rammelende argumentatie uit de hoek van een persoon die geld verdient aan het bijstaan van partijen die (ondanks de mogelijkheden daartoe) de veiligheid van publiek toegankelijke informatie niet deugdelijk hebben geregeld op zijn minst verdacht.

In de genoemde reactie stond te lezen: "De eigenaar van een systeem kan altijd hackers inhuren of een verzoek doen lekken in het systeem aan te tonen waarna de beveiliging kan worden verbeterd."

Juist hier zit hem de pijn. Het gaat om: kan. Dit zou bij overheidssites moeten zijn: moet.

Ze zijn verzot op reglementen en regels bij de overheid. Het lijkt mij niet zo moeilijk om (samen met de hackersgemeenschap) een lijst op te stellen waaraan een website qua veiligheid moet voldoen. Waar is deze lijst op dit moment? Deze punten zullen dan door hackers moeten worden getoetst. Dit betreft dan de toetsing vooraf.

Echter, de techniek staat niet stil en de lijst zal onderhoud vergen. Hier komt de aap uit de mouw. De nieuwste exploits zijn vaak bekend bij hackers, niet gelieerd aan een (ethische) hackersgroep. Door deze omstandigheid hebben dergelijke personen geen toegang tot de (overheids-)website voordat deze publiekelijk bereikbaar is. Dit neemt niet weg dat de door dergelijke personen aangetoonde zwakheden geen reden zouden moeten zijn ze strafrechtelijk te vervolgen. Nee een bedankje is eerder van toepassing. Uiteraard uitsluitend indien de zwakheid allereerst wordt gemeld en niet direct wordt misbruikt. Maar na een aantal keer (voorstel: 3) dezelfde zwakheid te hebben gemeld, waarmee niet verstandig wordt omgegaan (waar kennen we dat ook al weer van) vervalt het recht van de overheid om het "onder de hoed" te houden en is de overheid verplicht de zwakheid te publiceren. Dit om af te dwingen dat de overheid wordt gedwongen zich tot het uiterste in te spannen (een novum).

Na verificatie van de melding dient de website natuurlijk wel direct offline te worden gebracht en het lek gerepareerd. Zoals de bestuurlijke platitude luidt: "Veiligheid voor alles".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.