Home Internet Ethische hacker verdient geen straf, maar beloning!

Ethische hacker verdient geen straf, maar beloning!

61

Stel, je loopt bij een kledingwinkel zonder te betalen naar buiten met een tas vol dure spullen. De winkelier pakt je meteen in de kraag. Jij zegt dan dat je alleen maar de beveiliging wilde testen om aan te tonen of winkeldiefstal mogelijk was. Ben je dan een ethische winkeldief? Zo ja, dan heb je volgens minister Opstelten van Veiligheid en Justitie geen straf verdiend, maar een beloning.

Het lijkt een vreemde hersenkronkel, maar er zit misschien wel wat in. Opstelten heeft het niet over winkelbeveiliging en -dieven, maar over hackers van bedrijfssystemen. Die wil hij beschermen. Als zij ‘ethische’ hackers zijn tenminste: mensen die om bekendheid of om klanten te winnen inbreken in bedrijfssystemen en dit dan netjes melden. Bedrijven zouden volgens de minister blij moeten zijn, dat zulke hackers een probleem ontdekken. Ethische hackers moeten niet meer het risico lopen dat ze, ondanks het feit dat ze het bedrijf waarschuwen en het lek naar boven brengen, ook nog eens justitie op hun dak krijgen.

Het zou wel aardig zijn als je als ethische hacker geen risico meer loopt. Sterker nog, het zou nog leuker zijn als je, naast eeuwige roem en bekendheid vanwege het inbreken in de beveiligde omgeving, ook nog eens een beloning tegemoet kunt zien. Of er een baan of opdracht aan overhouden. Waarom niet? Dat kan wel eens een hele leuke nieuwe tijdsbesteding worden voor alle ZZP-ers en IT-ers die nu even niets te doen hebben.

De vraag rijst natuurlijk meteen: wat is ethisch? Minister Opstelten is ons al een stapje voor. Hij verwacht van de ethische hackers, dat deze ‘niet verder gaan dan strikt noodzakelijk’. Het wordt nog interessant om de definitie van ‘strikt noodzakelijk’ te bepalen. Hackers moeten volgens de minister in ieder geval bedrijven niet in de problemen of verlegenheid brengen. Bijvoorbeeld door de vondst van een lek openbaar te maken. Zij moeten het bedrijf de kans (of een offerte?) geven om het lek te dichten.

Zoals dat gaat in Den Haag, zijn er al richtlijnen opgesteld voor ethisch hacken. Onder de noemer ‘responsible disclosure’ biedt het Nationaal Cyber Security System (NCSC) ‘een leidraad voor bedrijven en overheden voor het vaststellen van een beleid voor het op verantwoorde wijze openbaar maken van ICT-kwetsbaarheden in informatiesystemen en softwareproducten’. Deze leidraad richt zich ook op de hackers die zich werkelijk ethisch willen gedragen.

Ethisch hacken kan leiden tot kostenverlaging, imagoverbetering en misschien zelfs belastingvoordeel voor organisaties. Het kan Nederland ook op de kaart zetten als wereldwijde voorloper in ethische hackmethoden. Het komt zowel IT-specialisten en -dienstverleners, het bedrijfsleven, de overheid en, uiteindelijk, de burger ten goede. Of dit haalbaar is, is nog maar de vraag. Want het werkt alleen als iedereen zich aan de spelregels houdt. Want hoe weten we ooit zeker dat je de dure kleding netjes teruggebracht had als de winkelier je niet had gesnapt?

Bram Haasnoot, RealOpen IT

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here