Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?
Antwoord: Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.
Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.
Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.
Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.
Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.
(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Juridisch niet dus. Wanneer je een geheimhoudingsverklaring hebt ondertekend dien je je daar aan te houden.
Ethisch hacken zie ik als net zo iets. Je geweten komt eraan te pas. Of je nou een NDA hebt getekend of niet, je geweten gaat boven alles. En zeer belangrijk, boven je eigen ego.
Als je dan uiteindelijk moet besluiten om te publiceren, deels of alles, moet uit de bodem van je ziel komen. Dan zul je meestal ook de rechter aan je kant vinden. Want die heeft ook ooit van die examens moeten doen.
Zelfs al meld je het ter goeder trouw bij de fabrikant of bedrijf is er altijd nog een kans dat er een aangifte komt en de officier van justitie probeert er een zaak van maakt.
Ook bij een bekende Nederlandse webshop een melding gemaakt, dat producten/items de prijs op nul stond netjes vermeld wie ik was, wanneer, welke items en wat en de oplossing, als dank account vergrendeld en een brief van de Politie om mij te melden.
Koste mij en de overheid alleen maar tijd en geld zaak is uiteindelijk geseponeerd wegens gebrek aan bewijs.
Bij de meeste bug bounty platforms form van big Tech bedrijven kan je goede afspraken maken over publicatie met de stakeholders. Zo vraag ik om de bounty te lokaal te doneerden, mijn ING stelt toch alleen maar rare vragen over bedragen die iets met 1337 of meervoud daarvan zijn de enige harde eis die ik heb is dat ik recht behoud om als het opgelost is als eerste er over te mogen schrijven, presenteren. Dit werk heel goed.
Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.
Ik vind dat je een onveilige situatie gewoon in het openbaar moet kunnen melden, moeten ze maar minder onveilige software gebruiken. Gebeurd in de open source wereld ook via git issue openen etc.
Als er een stoeptegel ontbreekt op een fietspad naar school meld je het toch ook gewoon bij de gemeente. Dit wordt dan hopelijk snel gerepareerd of anders afgezet. Dan ga je toch ook niet niks zeggen en die kleuters hun benen laten breken.
Als er een stoeptegel ontbreekt op een fietspad naar school meld je het toch ook gewoon bij de gemeente. Dit wordt dan hopelijk snel gerepareerd of anders afgezet. Dan ga je toch ook niet niks zeggen en die kleuters hun benen laten breken.
Is toch wel heel wat anders dan dat je het aan een bedrijf meld en de politie op je dak krijgt!
Juridisch niet dus. Wanneer je een geheimhoudingsverklaring hebt ondertekend dien je je daar aan te houden.
Nee, niet als er groter algemeen belang of (wettelijke) verplichting bestaat om te melden. Overeenkomsten gaan niet boven de wet.
Juridisch niet dus. Wanneer je een geheimhoudingsverklaring hebt ondertekend dien je je daar aan te houden.
Nee, niet als er groter algemeen belang of (wettelijke) verplichting bestaat om te melden. Overeenkomsten gaan niet boven de wet.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
