Hackers en onderzoekers die kwetsbaarheden in de website van het Openbaar Ministerie vinden en die op verantwoorde wijze rapporteren zullen niet worden vervolgd en kunnen een ludieke beloning verwachten, zo laat het OM weten. Het OM maakte gisteren bekend dat het zich aan de leidraad "responsible disclosure" houdt die de overheid in 2013 publiceerde.
"Het kan onverhoopt voorkomen dat er een zwakke plek in een van onze systemen zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan ons melden", zo laat het Openbaar Ministerie weten. In dit geval moeten kwetsbaarheden zo snel mogelijk na de ontdekking worden doorgegeven. Ook moet er verantwoordelijk worden omgegaan met de kennis van het beveiligingsprobleem door geen acties te verrichten die verder gaan dan noodzakelijk om de kwetsbaarheid aan te tonen.
Het is in ieder geval niet toegestaan om malware te plaatsen, gegevens of configuraties te kopiëren, wijzigen of te verwijderen, het delen van de systeemtoegang met anderen en het gebruik van social engineering en brute force- of DDoS-aanvallen om toegang te krijgen. In het geval melders zich aan deze regels houden zal het OM geen "juridische consequenties" aan de melding verbinden.
In het geval van een melding zal er binnen twee werkdagen een ontvangstbevestiging worden gestuurd en zal er binnen vijf dagen een beoordeling van de melding volgen. "In onderling overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid". Daarnaast kunnen hackers en onderzoekers een "ludieke beloning" voor elke melding tegemoet zien.
Eind vorig jaar stelde minister Opstelten van Veiligheid en Justitie dat het responsible disclosurebeleid Nederland veiliger heeft gemaakt. De overheid ontving in 2014 bij elkaar 157 meldingen van hackers over beveiligingsproblemen. Geen één van de melders werd wegens het melden vervolgd. Het responsible disclosurebeleid is namelijk een leidraad hoe hackers kwetsbaarheden kunnen melden en hoe hier door organisaties mee kan worden omgegaan. Er is echter geen wettelijke bepaling die voorkomt dat hackers die problemen rapporteren niet worden vervolgd.
Deze posting is gelocked. Reageren is niet meer mogelijk.