Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

'Richtlijn ethisch hacken lost niets op'

home

Kristel van Teeffelen

Een verkleed lid van de Chaos Computer Club CCC op de grootste Europese hackersbijeenkomst in Hamburg, eind december. © EPA

Het is de vraag of de regels voor ethisch hacken die minister Ivo Opstelten gisteren presenteerde, in de praktijk iets zullen veranderen. Als een hacker een beveiligingslek ontdekt en deze volgens de afspraken meldt, kan hij nog steeds strafrechtelijk worden vervolgd. Deskundigen verwachten dat veel hackers daarom niet aan de nieuwe leidraad zullen meewerken.

Nu is het vaak zo dat hackers een lek via de media bekendmaken. Dat doen zij niet direct bij het betrokken bedrijf, uit angst of omdat zij niet de juiste persoon weten te vinden, zegt Joran Polak, beveiligingsexpert bij Certified Secure. Het idee is dat bedrijven, door de hack-leidraad bijvoorbeeld op hun site te zetten, kunnen aangeven dat zij openstaan voor meldingen van hackers.

De hacker moet zich dan wel houden aan bepaalde afspraken. Zo moet hij tot doel hebben een lek aan te tonen en mag hij geen schade aanrichten of gegevens die hij tegenkomt kopiëren. Het bedrijf belooft de hacker vervolgens om het lek binnen een bepaalde termijn te dichten en kan ook afspraken maken om geen aangifte te doen. Een garantie daarvoor geeft de leidraad echter niet.

Belangrijk onderdeel van de afspraken tussen hacker en bedrijf is ook dat het lek niet meteen aan de grote klok wordt gehangen. Dat kan een veiligheidsriscio opleveren omdat het probleem nog niet is opgelost op het moment van bekendmaking, aldus Opstelten.

Anonimiteit kwijt
ICT-journalist Brenno de Winter noemt de leidraad zinloos. "Als hackers het lek eerst zelf moeten melden, zijn ze hun anonimiteit kwijt, zonder dat ze een garantie hebben dat zij niet worden vervolgd. En ook al belooft een bedrijf dat het geen aangifte doet, dan kan het Openbaar Ministerie nog een zaak starten."

Dat risico willen hackers niet lopen, verwacht De Winter. Hij wijst op een zaak waarbij een hacker in oktober vorig jaar inbrak op het systeem van het Groene Hart Ziekenhuis om een lek aan te tonen. De jongen die werd opgepakt, zat een aantal dagen in volledige beperking, ook tot schrik van een aantal Tweede Kamerleden.

Polak heeft naast het risico van de aangifte bovendien nog een ander punt van kritiek: de richtlijn gaat ICT-systemen niet veiliger maken. "Bedrijven moeten vooral niet zitten wachten tot een hacker een lek meldt. Zij moeten het systeem vooral zelf veiliger maken."

Trouw.nl is vernieuwd. Vanaf nu is onbeperkte toegang tot Trouw.nl alleen voor (proef)abonnees.

Deel dit artikel

Advertentie

Wilt u dit artikel verder lezen?

Maak vrijblijvend een profiel aan en krijg gratis 2 maanden toegang tot Trouw.nl.

Het e-mailadres bij dit profiel is nog niet bevestigd. Een link om te bevestigen kun je vinden in je inbox.
Ben je de link kwijt? Vraag hier een nieuwe aan.

Ongeldig e-mailadres

Wachtwoord is niet correct

tonen

Wachtwoord komt niet overeen

tonen

U moet akkoord gaan met de gebruiksvoorwaarden

Wij gaan vertrouwelijk om met uw gegevens. Lees onze privacy statement.