Commerciële IT- en beveiligingsbedrijven moeten niet de bevoegdheid krijgen om computers die cybercriminelen gebruiken, en vaak van onschuldige organisaties en thuisgebruikers zijn, te hacken. En ook de overheid moet voorzichtig zijn met het uitvoeren van proactieve cyberacties, omdat anders onschuldige partijen de dupe worden, aldus sommige Amerikaanse politici.

Deze week vond in de Verenigde Staten een hoorzitting van een Senaatscommissie plaats over het reageren op cyberdreigingen door de overheid en private sector. Volgens sommigen die tijdens de hoorzitting spraken is het probleem niet alleen via beschermingsmaatregelen op te lossen.

Wetgeving
Stewart Baker, partner van een advocatenkantoor, vergeleek het met het vragen van voetgangers om elk jaar betere kogelvrije vesten te kopen. "Ik roep niet op tot eigenrichting of lynchgroepen, maar we moeten de bedrijven die onderzoek doen de autoriteit geven om verder dan hun eigen netwerk te gaan", aldus Baker.

Toch zouden bedrijven hierdoor in een juridisch grijs gebied opereren. De omstreden CISPA-wetgeving die vorige maand wegens privacyredenen werd afgewezen, zou IT-bedrijven die offensieve cyberaanvallen uitvoeren immuniteit verlenen, of het nu gaat om spear phishingaanvallen of het installeren van spyware op de computer van een verdachte.

Zelfs de Republikeinse Congreslid Mike Rodgers en tevens fervent voorstander van CISPA, moet er niet aan denken dat commerciële IT-bedrijven hackbevoegdheden krijgen.

"Ik garandeer je dat er veel fouten worden gemaakt, gegeven de subtiliteit waarmee landen hun hand in deze activiteiten verbergen", aldus Rodgers afgelopen december. "Ik maak me heel veel zorgen over een ontketende private sector die actieve verdediging doet, omdat er denk ik veel dingen mis zullen gaan."

Ziekenhuis
"Totdat we hebben uitgevogeld hoe we onszelf en onze netwerken gaan beschermen, zou ik zeer, zeer, zeer voorzichtig over offensieve capaciteiten zijn." Volgens Rogers moet er ongekend zorgvuldig te werk worden gegaan. "Je wilt niet de verkeerde plek aanvallen of de verkeerde plek ontregelen voor iemand die geen misdrijf heeft begaan."

Rogers maakt zich met name zorgen over preventieve aanvallen tegen potentiële cybervijanden. Met name de private sector die uit zichzelf wil optreden zit de politicus niet lekker. Hij krijgt bijval van Howard Schmidt, voormalig cyber security coordinator van het Witte Huis.

"Ik denk niet dat we het fijn vinden als andere landen zeggen uit nationaal belang een server in Kansas City te willen aanvallen omdat er iets kwaadaardigs vandaan komt, en ze die server willen uitschakelen, die ook een medische faciliteit blijkt te zijn. We moeten hier dan ook zeer voorzichtig mee omgaan."

Onlangs presenteerde Minister Opstelten van Veiligheid en Justitie een wetsvoorstel waardoor de Nederlandse politie ook buitenlandse servers mag hacken, zoals in het voorbeeld van Schmidt wordt beschreven.