Onlangs was ik tijdens de Global Cyber Security Conference 2015 (GCSC 2015) in Den Haag uitgenodigd voor de uitzending ‘Zaken Doen Met’ van BNR. Gastheer was René de Monchy en samen met Dick Schoof, de Nationaal Coördinator Terrorismebestrijding (NCTB), heb ik het in de uitzending vooral gehad over de zin, maar ook de regels van ethisch hacken.
Over deze blogger
Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Vanuit zijn rol is hij betrokken bij diverse adviesvraagstukken bij verschillende organisaties in Nederland en daarbuiten. De insteek van Barry is om vanuit een offensieve security-aanpak de wereld te verbeteren. Hij vervult hier de rol van adviseur/consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.
Al jaren houd ik me met een aantal getrouwen bezig met een vraagstuk dat in de uitzending van BNR centraal staat: wat is ethisch hacken eigenlijk? Volgens mij is dit de basis van een grotere discussie, onder andere omdat de meningen over ethiek sterk kunnen verschillen. Voor mij van groter belang is dat ethisch hacken dit jaar prominent op de agenda is gekomen tijdens de wereldwijde cyber-top en dat ik heb kunnen uitdragen dat hackers de wereld een stukje leuker kunnen en willen maken.
Responsible disclosure
Op de hamvraag of hacken strafbaar is, belichtte mijn tafelgenoot Dick Schoof de procedure rond responsible disclosure. Dit legde hij in verband met ethisch hacken, en dat is precies zoals ik het zie. De ethiek bij deze vorm van hacken ligt in het wel of niet openbaar maken van zwakheden in de firewall of systemen van een bedrijf. Hiermee wordt de actie gelegitimeerd en krijgt de hacker niet te maken met de heren van het Openbaar Ministerie. Met deze partij, en een grotere vertegenwoordiging uit zowel overheden als het bedrijfsleven, zijn we tijdens GCCS zelfs rond de tafel gaan zitten om duidelijke afspraken te maken over richtlijnen, zodat we onze taak beter kunnen uitoefenen. Dit is waarom responsible disclosure de wereld veiliger gaat maken. Door afspraken te maken over wat je wel en niet mag hacken, zorg je ervoor dat de zwakheden intern worden geëvalueerd. Vervolgens ligt de verantwoording bij de ontvangende partij om ervoor te zorgen dat een beveiligingsprobleem wordt opgelost.
Zwembad
Hackers hebben ook wel eens te maken met ‘gezeur.’ Ze willen goed doen, maar helaas hebben bedrijven niet altijd goede procedures voor reponsible disclosure. Dan is het maar zeer de vraag hoe er wordt omgegaan met het melden van een beveiligingslek. Het is in het verleden regelmatig voorgekomen dat lekken zijn ontdekt bij bedrijven die niet zo’n procedure hadden. In dat geval kan dit netjes worden gemeld bij het Nationaal Cyber Security Centrum (NCSC), dat het vervolgens gaat oplossen. Een mooi voorbeeld uit 2012 is dat er een aantal sluizen en een zwembad op afstand bestuurbaar was gemaakt. Dat is netjes gemeld aan het NCSC, dat het probleem vervolgens binnen enkele uren had opgelost. Daar ben ik dan ook heel positief over.
Community
In onze discussie gaf Dick Schoof ook aan dat de NCSC en hackers samenwerken in een soort community. Een los georganiseerde groep die elkaar op basis van wederzijds vertrouwen controleert. Wie had dat een paar jaar geleden gedacht? Een gezonde basis is trouwens binnen de community hiervoor wel noodzakelijk. Ook kennis op dat gebied is nog steeds een probleem in Nederland doordat op dit moment nog te weinig goede ‘beta-scholieren’ worden opgeleid. Daar kun je niet vroeg genoeg mee beginnen en het is iets waar nog zeker aan gewerkt moet worden. Ook gaf Schoof aan dat we met internet en cyber in een wereld zitten die zich niet laat vatten in wetten en regelgeving. We moeten ons realiseren dat we al een paar decennia in een global village leven. De belangrijkste les van de GCSC 2015 is volgens het NCTB dat het belangrijk is om internationaal non disclosure-procedures uit te gaan rollen. Daar ben ik het uiteraard volledig mee eens, maar ik zou wel scherp op het netvlies willen houden of het spanningsveld tussen de wet en ethiek een gezonde uitdaging kent. We besloten de BNR-uitzending met de vraag of ik als hacker voorzichtiger ben geworden waar ik mijn talenten aanwend. Begeef ik me bijvoorbeeld op het terrein van overheid- en bedrijfsleven in China of Iran? Het antwoord is nee. Als ik zou hacken in Iran, dan weet ik dat er voor altijd een kruisje achter mijn naam komt te staan. Dat zou dus niet zo ‘responsible’ zijn.
Helemaal mee eens. Lees ook onderstaand blog eens.
http://www.blogit.nl/white-hat-hackers-de-poortwachters-van-de-cybertoekomst
Als je in opdracht handelt van de AIVD of de NSA dan is er geen beperking, als je als privé persoon handelt dan is het oppassen. Overigens denk ik dat het andersom niet zo werkt. Andere landen hacken er lustig op los zonder zich over etische normen te bekommeren. Overigens zijn onze eigen etische normen universeel en globaal erkend? Hoe denkt bijv. IS, NSA of Noord Korea over etische normen op Internet?