020 530 0160

Nederlands bedrijfsleven uit steun voor Responsible disclosure en white hat hackers

Gepubliceerd op 13 juni 2016 categorieën , ,

Noord-Korea infecteert vermoedelijk ruim 140.000 Zuid-Koreaanse computers met malware. Anonymous verklaart IS de oorlog. Sony e-mails en films gelekt. Allemaal voorbeelden van recente acties van hackers. Vaak zijn dit niet slechts individuen, maar goed georganiseerde collectieven. Collectieven met een duidelijke missie.

Een belangrijk onderscheid dient hier gemaakt te worden tussen hackers die hun eigen belang nastreven (black hats) en hackers die vooral een collectief belang dienen (white hats). De bekendste white hat van Nederland is Victor Gevers, beter bekend als 0xDude. 0xDude heeft namelijk al sinds 1998 bijna 5.000 beveiligingslekken bij individuen, kleine en grote bedrijven en overheidsinstanties, gemeld en helpen oplossen. Deze vorm van hacking wordt ook wel Responsible Disclosure genoemd.

Nederland loopt voorop wat betreft Responsible Disclosure. In 2013 publiceerde het Nationaal Cyber Security Centrum (NCSC) al een leidraad hierover. Deze leidraad is bedoeld om organisaties te helpen een eigen beleid voor Resposible Diclosure op te stellen. Ook melders kunnen met behulp van deze leidraad nagaan wat ze kunnen doen als ze een kwetsbaarheid constateren. Het doel hiervan is vooral om schade zoveel mogelijk te voorkomen of te beperken. Na een melding dient dan ook voldoende tijd voor herstel beschikbaar te zijn alvorens tot openbaarmaking over te gaan. Het alternatief (full) disclosure, waarbij een kwetsbaarheid volledig publiekelijk bekend wordt gemaakt, houdt hier geen rekening mee en is dus minder wenselijk.

Ondanks het feit dat Responsible Disclosure een publiek belang kan dienen, is hacken al sinds 1993 strafbaar  in Nederland. Dit vloeit voort uit artikel 138ab (computervredebreuk) en artikel161 sexies (beschadiging van systemen) van het Wetboek van Strafrecht. De wet maakt in deze artikelen geen onderscheid tussen white of black hats. Het is aan het Openbaar Ministerie en de rechtbank om hierover te oordelen.

In de Henk Krol zaak bepaalde de rechtbank dat, bij de beoordeling of er sprake is van bijzondere omstandigheden die het wederrechtelijk karakter van het handelen laten vervallen, de volgende factoren van belang zijn:

1.     heeft de verdachte gehandeld in het kader van een wezenlijk maatschappelijk belang?

2.     en zo ja, was het handelen van verdachte proportioneel (ging het niet verder dan noodzakelijk was om het beoogde doel te bereiken)

3.     en was/waren er geen minder vergaande manier(en) beschikbaar voor het bereiken van dat doel (het vereiste van subsidiariteit)?

De rechtbank oordeelde hier dat het aantonen van gebreken bij de bescherming van vertrouwelijke, medische gegevens een wezenlijk maatschappelijk belang kan dienen en dus om die reden dan ook niet wederrechtelijk is. De wijze van verwerking van deze gegevens door Henk Krol voldeed echter niet aan de hiervoor genoemde eisen. Dit had verholpen kunnen worden door vooraf een Responsible Disclosure beleid op te stellen.

Op 12 mei 2016 heeft het Nederlandse bedrijfsleven hier gehoor aan gegeven en hebben 30 grote bedrijven, waaronder banken, energiemaatschappijen en telecomaanbieders het Coordinated Vulnerability Disclosure Manifesto getekend. Hiermee willen de initiatiefnemers partijen bewuster maken van het belang van goede samenwerking tussen organisaties en de cybersecuritygemeenschap. Inmiddels is het initiatief onderbracht bij het Global Forum on Cyber Expertise (GFCE).

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Remco Bakker

publicaties

Gerelateerde artikelen