Steeds meer bedrijven houden er een beleid op na waarbij ze, onder bepaalde voorwaarden, gehackt mogen worden. Ze krijgen zo inzicht in de kwaliteit van hun IT-beveiliging. ‘Responsible disclosure’ heet dat met een duur woord. Tijdens de komende Global Conference on Cyberspace 2015 (GCCS 2015) op 16 en 17 april wordt het hoogstwaarschijnlijk één van de grote thema’s van de dag. Ik wil me echter hardmaken voor de volgende beleidsstap: ‘responsible protection.’
Over deze blogger
Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Vanuit zijn rol is hij betrokken bij diverse adviesvraagstukken bij verschillende organisaties in Nederland en daarbuiten. De insteek van Barry is om vanuit een offensieve security-aanpak de wereld te verbeteren. Hij vervult hier de rol van adviseur/consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.
Hackers hebben een slechte naam. Mensen schuiven de gordijnen dicht wanneer ze langslopen op straat. Bij een potje voetbal worden ze als laatste gekozen. En laten ze nou nooit eens gematst worden door de conducteur wanneer ze vergeten in te checken met het OV. Het beeld is immers: het zijn dieven. Miljoenen gestolen bij banken, websites die dagen plat liggen en creditcard-fraude met gestolen persoonsgegevens… een duistere hacker in een hoody, breed grijnzend achter een laptop, zal er verantwoordelijk voor zijn.
De meeste hackers hebben echter helemaal geen slechte intenties. Ze zijn juist de oplossing voor problemen rond slechte IT-beveiliging. Ze denken out of the box en kunnen een organisatie wijzen op risico’s en lekken waar die organisatie zelf nog nooit aan gedacht heeft.
Van responsible disclosure…
Een paar bedrijven hadden dat al vroeg in de gaten. Met name Marktplaats is een goed voorbeeld. Als zij gehackt worden, zijn ze er (meestal) alleen maar blij mee. Zij waren één van de eerste organisaties met een responsible disclosure-beleid. Op hun website maakte Marktplaats bekend dat het onder voorwaarden toegestaan is om hen te hacken. De bevindingen van de hacker moeten in ieder geval aan hen worden medegedeeld en er mag geen schade zijn. Een slimme zet, want door dit beleid wordt Marktplaats constant gewezen op mogelijke lekken en is de kwaliteit van de beveiliging van de site goed.
Responsible disclosure heeft door de jaren heen navolging gekregen. Het is bovendien verder geperfectioneerd. Bedrijven als KPN, Microsoft en Marktplaats loven zelfs een beloning uit aan hackers die laten zien wat er mis is met hun site. Ook de overheid heeft een beloning voor responsible disclosure hackers: een T-shirt met opdruk “I hacked my government and all I got was this lousy t-shirt”. Goed voor de bedrijven en de overheid. Maar ook voor de hackers. Eindelijk is het vertrouwen in hen eens aan het groeien.
…naar responsible protection
Tijdens het komende GCCS wordt responsible disclosure waarschijnlijk één van de belangrijkste gespreksonderwerpen. Responsible disclosure gaat mij echter nog niet ver genoeg. Ik wil me eens hard maken voor responsible protection: een op de eigen site gepubliceerde statement waarin de organisatie zich verplicht iets met de informatie uit een responsible disclosure te doen. Want wat heb je aan adviezen wanneer er vervolgens geen verantwoordelijkheid genomen wordt?
En belangrijker nog: in een responsible protection-statement zou wat mij betreft ook een informatieverplichting moeten staan. Wanneer mijn persoonsgegevens, mailadressen of bankgegevens gestolen zijn, wil ik dat weten. In de huidige digitale wereld zijn dergelijke gegevens eenvoudig te kopiëren. Een BSN-nummer die jaren geleden gestolen is, kan na jaren tijd nog steeds gebruikt worden. Ik denk dat zo’n informatieplicht voor veel mensen echt een wake up call zal zijn. Ze zullen zich bewust worden van de risico’s met als gevolg dat de overheid en het bedrijfsleven meer aandacht aan dit belangrijke onderwerp gaan geven. Op die manier krijgt security eindelijk de aandacht die het verdient.
