Het zou mij benieuwen hoe werkbaar dat gaat worden. Let wel, dit lijkt alleen over overheidsIT te gaan. Of het bedrijfsleven zich er bij aan moet sluiten omdat OM niet wi vervolgen en rechters niet veroordelen als ze dat niet doen, zal nog maar moeten blijken.

"De minister van Veiligheid en Justitie zal eind dit jaar met een kader komen voor ethische hackers die beveiligingslekken willen melden. "

Laat de minister eerst de definitie van ethisch hacken opzoeken. Dit is namelijk hacken met voorafgaande toestemming van de eigenaren van de systemen, met als doelstelling het vinden van beveiligingslekken voor de klant die deze werkzaamheden laat verrichten (a.k.a. penetration testing).

Ethisch hacken heeft *niets* te maken met het zonder toestemming proberen te hacken van systemen, ongeacht of de intentie goed- danwel kwaadaardig is :

"An ethical hacker is a computer and network expert who attacks a security system on behalf of its owners, seeking vulnerabilities that a malicious hacker could exploit. To test a security system, ethical hackers use the same methods as their less principled counterparts, but report problems instead of taking advantage of them. Ethical hacking is also known as penetration testing, intrusion testing and red teaming."

Er is geen kader van de minister nodig voor ethical hackers die beveiligingslekken willen melden. Die meld je immers volgens de afgesproken procedure aan je opdrachtgever, en daar heeft meneer Opstelten niets, maar dan ook helemaal niets, mee te maken.

Denk niet dat het gaat worden.Tegenwoordig doen we met z'n allen cyberwarfare voeren. Beveiligingsproblemen oplossen help hier totaal niet mee; dat maakt het alleen lastiger

Ik vind dat de minister hiermee een volledig verkeerd signaal afgeeft. Krijgen we nu een hackers gedoogbeleid ?

Kan iedere hacker wiens activiteiten worden opgemerkt straks roepen, ongeacht zijn werkelijke intenties, dat hij ''ethisch'' bezig was, en toch echt van plan was om het bedrijf wat hij aan het hacken was in te lichten ?

Moedig je hiermee geen jongeren aan, die misschien helemaal niet weten waar ze mee bezig zijn, om te proberen op systemen in te breken, waarbij ze onbedoeld schade kunnen aanrichten ?

Kennelijk mag jan en alleman gaan hacken, zolang je maar de juiste intenties hebt. En beveiligers in bedrijven mogen gaan raden welke hacking activiteit kwaadaardig is, en welke hacking activiteit ''ethisch'' van aard is.... ?

Het signaal dat hiermee afgeworden mag dan vreemd zijn, de uiteindelijke resultaten zouden wel eens positief kunnen uitpakken. Feitelijk gezien kan het resultaat zijn dat er meer mensen op zoek zijn naar beveiligingslekken, en de bedrijven en overheidsinstanties die niet goed genoeg omspringen met het beschermen van je gegevens zullen daardoor eerder door de mand vallen. Dat support een sluitende en pro-actieve aanpak van gegevensbeveiliging, en daar is iedereen bij gebaat. De wereld op zijn kop? Misschien, maar het effect zou wel eens positief kunnen zijn.

De vraag is natuurlijk hoe de uitwerking eruit gaat zien. Er kan natuurlijk ook een wet komen waar min of meer in staat "het mag dus niet."

Er komt een hackpas...

"Het signaal dat hiermee afgeworden mag dan vreemd zijn, de uiteindelijke resultaten zouden wel eens positief kunnen uitpakken."

Tja, en een hacker die wordt gepakt, die zal gaan roepen dat hij net op het punt stond een melding te doen. Verder kan men bij bedrijven nauwelijks meer verschil zien tussen hackers die te goeder, danwel te kwader trouw zijn. Mag ik ook met mijn lockpick setje proberen jouw voordeur of auto open te maken, zolang ik maar pretendeer dat ik de intentie heb om jou in te lichten, indien jouw slot gemakkelijk te openen is ?

"Het signaal dat hiermee afgeworden mag dan vreemd zijn, de uiteindelijke resultaten zouden wel eens positief kunnen uitpakken."

Tja, het lijkt erop dat de minister liever wil dat 16-jarige pubers gaan rondneuzen in overheidssystemen, dan dat hij professionele pentesters (a.k.a. ethical hackers) inhuurt, die weten waar ze mee bezig zijn, om de beveiliging van overheidssystemen goed door te lichten.

"Overheidsorganisaties gaan op dit moment verschillend met meldingen om wat volgens het Kamerlid tot 'rechtsonzekerheid' bij potentiële melders kan leiden."

Is dat raar wanneer je willen en wetens de wetten overtreedt ? Sommige van deze mensen zullen weten waar ze mee bezig zijn, anderen zullen aangemoedigd door de minister schade aanrichten.

Waarom is dat nodig? Er zijn al internationaal erkende kaders waar 'goedwillenden' zich aan houden, een kwaadwillenden zich bewust niet aan houden. Aan die situatie verander je niks. Je kan hooguit de erkende kaders verder onder de aandacht brengen, om zo te zorgen dat personen die 'per ongeluk' een kwetsbaarheid vinden hiermee bekend.

Hij blijft grappig, die Opstelten.

Ten eerste: als Opstelten kan aantonen dat (al is het alleen het deel van) de overheid (waarvoor hij verantwoordelijk is) zich aan de regels houdt en op die wijze het goede voorbeeld geeft, zullen we misschien ooit naar hem gaan luisteren.

Ten tweede: laten we het voor de duidelijkheid eens omdraaien. De overheid kan aansprakelijk worden gesteld voor onvoldoende beveiliging van gegevens van nederlandse staatsburgers. Anders gezegd: de overheid heeft de beveiliging niet op orde totdat het tegendeel is BEWEZEN! Dus Opstelten: de armen uit de mouwen. Ik denk dat jij ZONDER hulp van hackers heel ver gaat komen. (Deze laatste zin is ironisch.)

Ten derde: als de overheid er zoveel prijs op stelt (pun NOT intended) dat burgers betrokken zijn bij de veiligheid in de openbare fysieke ruimte, waarom dan zo ongekend krampachtig in de openbare virtuele ruimte? Zeker als je nog niet zo lang geleden heb gezegd dat de veiligheid van computersystemen van burgers geen taak van de overheid is. Of begint het door te dringen dat een via internet bereikbaar overheidscomputersysteem dat niet wordt mis-/gebruikt een nutteloos systeem is?

Ten vierde: kenmerk van hackers is dat zij, op basis van hun kennis en kunde, zich niet graag "de wet" laten voorschrijven.

Dus, zoals al eerder werd opgemerkt, dit gaat het niet worden.

Grappig, maar zo beroerd nog niet. Om het hierboven (nogal vaak) aangehaalde argument even aan te halen: nee, natuurlijk mag Jan en Alleman niet proberen in mijn huis in te breken om, als hij gepakt wordt, te "roepen" dat hij het alleen deed om te bewijzen dat het kon en mij daarover in te lichten.

Aan de andere kant kan ik er prima mee leven als er wettelijke kaders opgesteld worden waarbinnen Security-Professionals (hang er maar een willekeurige eis aan zoals een of ander overheidscertificaat, of doe het net zoals "PI-licenses" in Amerika, of erken een aantal certificaten zoals CEH vanuit de overheid) zonder dat vooraf te melden "gratis" pentests mogen uitvoeren - simpelweg om te bewijzen dat het kan.

Als ik een agent bij mij in de gang vind die me vertelt dat ik mijn voordeur open heb laten staan, lijkt me dat op zich prima.