image

'Ministerie niet serieus met richtlijn ethische hackers'

dinsdag 8 januari 2013, 10:05 door Redactie, 4 reacties

Als het Ministerie van Veiligheid en Justitie serieus is over de belangrijke maatschappelijke verantwoordelijkheid van ethische hackers die beveiligingsproblemen rapporteren, moet het meer doen om deze melders tegemoet te komen. Dat zegt Mitchell Paardekooper van Van Bavel Advocaten. Vorige week lanceerde het ministerie de leidraad voor verantwoorde openbaarmaking van ICT-kwetsbaarheden.

De richtlijnen zouden er voor moeten zorgen dat een bedrijf geen aangifte tegen een ethische hacker doet als die een beveiligingsprobleem op verantwoorde wijze rapporteert. Een garantie hiervoor ontbreekt echter. De leidraad aan het OM de mogelijkheid om in bepaalde gevallen toch een strafvervolging in te zetten.

Strafuitsluiting
"En zelfs als het OM besluit om de zaak te seponeren is een hacker niet “off the hook”, nu art. 12 Sv de aangever de mogelijkheid biedt om alsnog via de beklagprocedure zijn gram te halen", aldus Mitchell. Hij stelt dat als het ministerie ethische hackers serieus zou nemen, het zou kunnen nadenken over een strafuitsluitingsgrond.

"Zo zou je mogelijk kunnen bepleiten dat er bij een hack die is ingegeven uit ethische motieven sprake is van de uitzonderlijke situatie waarin door het plegen van een strafbaar feit het onderliggende rechtsgoed dat de strafbepaling beoogt te beschermen juist gediend wordt."

Mitchell vindt dat als een hack een datalek aan het licht brengt en de hacker daarvan vervolgens op een verantwoorde wijze melding maakt bij de verantwoordelijk partij, daarmee het rechtsgoed dat een strafbepaling zoals computervredebreuk beoogt te beschermen – het afschermen van gegevens voor onbevoegden – juist gediend wordt, omdat het de partij de gelegenheid geeft om de veiligheid van het systeem te vergroten.

Reacties (4)
08-01-2013, 11:10 door Anoniem
Ik zou dan zeggen dat een voorwaarde voor het verantwoord ethisch hacken moet zijn dat de ethisch hacker vooraf aankondigt (bijv. bij een meldpunt) dat hij of zij een penetratietest gaat doen en welke technieken hij wil gebruiken. Het meldpunt geeft dat dan na een afgesproken tijd door aan het doelwit. De ethisch hacker verplicht zich dan ook een rapportage te schrijven waarin staat hoe de hack plaatsvond. Het doel van ethisch hacken is immers duidelijk maken dat er iets mis is en dat vereist documentatie.

Zonder enige afspraak proberen in te breken is wat mij betreft vragen om problemen. De beheerder van een systeem weet niet wat de intenties van de hacker zijn en zou van het ergste moeten uitgaan.

Ik zie al voor me dat zo'n richtlijn ook voor inbrekers geldt... Inbreken mag, mits je maar geen kwade bedoelingen hebt. Dan kan iemand die inbreekt in een kantoor zeggen dat hij een ethisch inbreker is en alleen maar wilde controleren of de archiefkast met vertrouwelijke stukken wel goed afgesloten was?
08-01-2013, 12:31 door Anoniem
Met dit soort ondoordachte terminologie is sowieso niet behoorlijk meer te innoveren in computerland. Moet het een zaak van grootbedrijven worden?
08-01-2013, 17:51 door Anoniem
Ik zou dan zeggen dat een voorwaarde voor het verantwoord ethisch hacken moet zijn dat de ethisch hacker vooraf aankondigt (bijv. bij een meldpunt) dat hij of zij een penetratietest gaat doen en welke technieken hij wil gebruiken.
Gaat niet werken als je per ongeluk ergens tegen aan loopt.
Was er laatst niet iemand die per ongeluk een lek ontdekte omdat hij een url verkeerd had overgetikt?

Bovendien heb je een daadwerkelijk doelwit op de korrel en twijfel ik persoonlijk of je intenties wel juist zijn.
09-01-2013, 11:09 door Anoniem
@ #1: Daar hebben we allang een andere naam voor: consultancy-diensten.

En meestal lopen 'ethische hobby hackers' vaak bij toeval tegen zo'n potentieel lek aan (b.v. SQLi) en helemaal niet gepland ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.