Het DIVD (Dutch Institute for Vulnerability Disclosure) is geen onderdeel van een politieonderzoek naar grootschalige diefstal van persoonsgegevens en afpersing. Een van de drie verdachten was weliswaar als ethische hacker aan de beveiligingsorganisatie verbonden maar heeft via DIVD geen personen afgeperst. Evenmin is gebleken dat de 21-jarige Nederlander op een andere manier misbruik heeft gemaakt van zijn werk voor de vrijwilligersorganisatie.
Volgens een woordvoerster van DIVD had de verdachte deze organisatie ‘niet nodig om nare dingen te doen’. Het blijft evenwel een onduidelijk waarom de opgepakte hacker een dubbelrol had. Via DIVD hielp hij vrijwillig organisaties door te waarschuwen voor kwetsbaarheden in hun systemen. In een andere rol maakte hij op grote schaal slachtoffers. De bende van drie waarvan hij deel uitmaakte, wordt ervan verdacht miljoenen te hebben verdiend met afpersing. De criminele organisatie zou over duizenden databases hebben beschikt met daarin persoonsgegevens van miljoenen mensen. De verdachte werkte ook voor een it-bedrijf.
De affaire betekent voor DIVD een gevoelig imagoverlies. Na eenmalige subsidie van het Digital Trust Center (DTC) beslist de Kamer binnenkort over een vaste subsidiestroom. DIVD bezint zich over de screening van personeel die voor deze organisatie ethisch willen gaan hacken. Momenteel is geen verklaring van goed gedrag (VOG) nodig. Bekeken wordt of het verstandig is hier wel naar te vragen.
Bekend is dat DIVD talent een tweede kans geeft. Knapen of meiden die bijvoorbeeld een keer hun school hebben gehackt, worden gestimuleerd iets goeds met hun talenten te gaan doen.
“Momenteel is geen verklaring van goed gedrag (VOG) nodig” bij de DIVD. “Bekeken wordt of het verstandig is hier wel naar te vragen.”
Zou het wel doen bij bepaalde functies.
Een VoG als momentopname bij de voordeur lijkt me eerder een formaliteit dan een garantie aangezien zonden uit het verleden weinig zeggen over intenties in de toekomst. En als je mensen een tweede kans wilt geven omdat ze misschien wel door nieuwsgierigheid de fout in zijn gegaan dan is de verklaring van Justis niet de beste ballotage. Het lijkt me beter om goed te kijken naar de beweegredenen want onbaatzichtige vrijwilligers zijn schaars en bepaalde kennis is nog schaarser.
Een rijbewijs is ook maar een momentopname van kwalificatie (mits deze niet vervalst is), en zo kan je doorgaan. Een verklaring omtrent goed gedrag vragen is een onderdeel van de intake bij een organisatie zoals de DIVD (hopende dat de politiegegevens op orde zijn). Via een assessment moet je samen met de potentiële nieuwe vrijwilliger / werknemer kijken naar wat de mogelijkheden voor positieve ontwikkelingen zijn. Intern moet je een analyse maken wat de eventuele risico’s zijn en bijpassende maatregelen nemen. Je laat iemand als ethische hacker de mate van veiligheid bij een klant bepalen. Je moet je niet blind staren op de schaarse talenten vanuit je eigen doelstelling om te helpen. Je wilt geen crimineel verder opleiden om ellende te veroorzaken. Een rotte appel in je organisatie kan je echter nooit geheel voorkomen, want sommigen hebben van nature al 2 gezichten of komen bijvoorbeeld in financiële problemen en gaan dan de fout in.
Heel sneu voor DIVD, maar wel goed dat ze zo open zijn.
Nee, een rijbewijs is een bewijs van vaardigheden en niet van je gedrag of je intenties. Verder wordt met veel woorden hetzelfde gezegd als wat ik zeg waarbij ik de vraag of VoG een onderdeel van de intake is of een formaliteit postuleer. Tenslotte is de grens tussen een white hat hacker en de black hat hacker als een spaghetti western doordat we het over dezelfde vaardigheden aan twee kanten van een demarcatielijn hebben. Ik zeg het cryptisch want een gevonden zwakheden kan nogal wat impact hebben op het imago van een bedrijf als we kijken naar zoiets als responsible disclosure want niet gehinderd door kennis kan afpersing op vele manieren gedaan worden.
Nee, een VoG is een puzzelstukje, net als andere puzzelstukjes. Je moet kijken of die stukjes bij dezelfde puzzel horen en welk beeld dan ontstaat. De kennis van achteraf is vaak grotendeels gelijk aan die van toen het nog mis kon gaan, maar niet hoefde gaan. Alleen had niemand een overzicht van de toen aanwezige informatie. In het OVV rapport ‘Bewaken en beveiligen Lessen uit drie beveiligingssituaties’ is nogmaals te zien dat het niet slim is om puzzelstukjes in je analyse en besluitvorming te negeren of weg te laten op basis van vaag gehanteerde beleidscriteria of op gevoel gebaseerde willekeur. Het net verschenen ‘Report of the Public Inquiry into the Attack on Manchester Arena on 22nd May 2017’ laat het zelfde zien. De gevolgen van de voorbeelden zijn weliswaar veel dramatischer, maar het principe van falen is gelijk.
Nu is het weer een puzzelstukje terwijl het eerst een toegangsbewijs tot een functie was. De kennis van achteraf is vaak grotendeels gelijk aan die van toen als we kijken naar een vooringenomenheid aangaande de zonden uit het verleden. Een heilige kun je niet afpersen maar wie is er heilig als het om de menselijk aard gaat?
Gehanteerde beleidscriteria of een op gevoel gebaseerde willekeur ben ik benieuwd naar de mening over een tweede kans voor een ex-Hofstadgroep lid. Wat betreft interne controle mechanismen voor het melden van vermeende misstanden weet ik niet welke sociale controle DIVD heeft maar de rotte appels in de mand gaan niet om de rechtspersonen.
Wat betreft een structurele subsidie voor partijen die openlijk geweld als middel in het behalen van een doel prediken kan het nog een leuke discussie worden.
Een VoG als toegangsbewijs tot een functie. Zeker een 1G, 2G of 3G toegangsbewijs?