Responsible Disclosure, een verantwoordelijkheid van twee kanten

Stel: je zit op de bank lekker televisie te kijken als de bel gaat. Je doet open en voor je staat een man die je niet kent. De man vertelt dat hij een ethisch beveiligings-onderzoeker is en dat hij uit eigen beweging jouw huis op beveiligingsproblemen heeft gecontroleerd. Hij legt uit dat jouw huis meerdere kwetsbaarheden heeft en dat hij een kwetsbaarheid bij de achterdeur heeft uitgebuit om het huis binnen te dringen. Om dat aan te tonen overhandigt de man je nog een paar van je bankafschriften die hij als bewijs van de kwetsbaarheid heeft meegenomen. De man geeft aan dat hij verwacht dat de beveiligingsproblemen van jouw huis binnen enkele weken zijn verholpen en dat hij ze daarna openlijk op het Internet zal publiceren.

Waarschijnlijk zul je in de bovenstaande situatie, net zoals ikzelf en de gemiddelde Nederlander, niet lang twijfelen om de politie te bellen. Als de man opgepakt zou worden, zou hem minimaal huisvredebreuk ten laste kunnen worden gelegd. Ondanks zijn wellicht goed bedoelde intenties is de man namelijk zonder jouw toestemming jouw huis binnen gedrongen. In de digitale wereld kennen we een vergelijkbaar fenomeen, namelijk "computervredebreuk". Hoewel velen wellicht de analogie tussen het inbreken in een huis en het digitaal inbreken op een computersysteem zullen betwisten, zijn de wetsartikelen die gaan over computervredebreuk in het Wetboek van Strafrecht opgenomen als een aanvulling op die van huisvredebreuk. De potentiële straf voor computervredebreuk is niet misselijk, namelijk 1 tot 4 jaar celstraf - afhankelijk van het type vergrijp - of een boete die kan oplopen tot bijna 20.000 euro. Deze straffen liggen veel hoger dan voor huisvredebreuk zelf.

Computervredebreuk

Hoewel weinig mensen de noodzaak en het nut van dergelijke wetsartikelen zullen ontkennen, zijn ze de afgelopen jaren wel een belemmering geweest voor hackers met goede bedoelingen, de zogenaamde ethische of "white-hat" hackers. Deze groep onderzoekt in het maatschappelijk belang de veiligheid van systemen van bedrijven en organisaties. Dit met het doel de veiligheid van deze systemen te verbeteren. Ondanks de goede bedoelingen van deze groep onderzoekers, zijn de handelingen die ze uitvoert evengoed strafbaar. Als er kwetsbaarheden gevonden worden, loopt de ethische hacker het risico dat hij vervolgd wordt op het moment dat hij deze bij het betreffende bedrijf of organisatie meldt. En die kans is best groot als je nadenkt over je eigen reactie op het voorbeeld uit het begin van dit artikel.

Een oplossing die voor dit probleem vaak werd gehanteerd was het anoniem via de media melden van de gevonden kwetsbaarheid of deze rechtstreeks op het Internet plaatsen. Dit leidde echter nogal eens tot de situatie dat de melding al op het Internet verscheen voordat het betreffende bedrijf de bevindingen had kunnen oplossen, een zogenaamde "full disclosure". De gevolgen hiervan laten zich raden.

Leidraad Responsible Disclosure

Om verbetering in deze situatie aan te brengen heeft het Ministerie van Veiligheid en Justitie samen met het Nationaal Cyber Security Centrum begin vorig jaar de "Leidraad om the komen tot een praktijk van Responsible Disclosure" uitgebracht. Het doel van deze leidraad was om "partijen nader tot elkaar te brengen" en "een handreiking te bieden aan organisaties om door middel van eigen beleid constructief samen te werken met alle partijen die de veiligheid van ICT-systemen hoog in het vaandel hebben staan". Hoewel niemand een probleem met dit soort argumenten zal hebben, zitten er ook nadelen aan deze leidraad: "de geldende strafrechtelijke kaders worden niet aangetast". Feitelijk komt het er op neer dat het bedrijf in kwestie de spelregels bepaalt en ook zelf oordeelt of en wanneer aan die spelregels is voldaan. Het gevolg kan zijn dat een ethische hacker zich dan alsnog voor een rechtbank zal moeten verantwoorden. Daar bovenop kan het ministerie zelf nog bepalen dat er sprake is geweest van strafbaar handelen en een procedure tot vervolging in werking zetten. Nog steeds niet echt een prettig vooruitzicht voor een ethische hacker dus.

Hoewel deze situatie dus nog steeds niet ideaal is, lijkt de wal het tij langzaam aan toch te keren. In toenemende mate raken bedrijven zich bewust van de risico's die gelopen worden door kwetsbaarheden in hun systemen. De media staan bol met bedrijven waarvan de systemen gecompromitteerd zijn geraakt en de enorme financiële gevolgen die dat met zich mee heeft gebracht. Alle hulp om hier verbetering in te brengen is daarbij dus welkom. Financiële instellingen, IT- en telecombedrijven lopen voorop bij het implementeren van een op de leidraad gebaseerd Responsible Disclosure Beleid (RDB). Ik heb in de praktijk gezien dat de implementatie van zo’n RDB waardevolle meldingen oplevert en dat deze bedrijven meldingen en de afhandeling ervan zeer serieus nemen. Maar naast voordelen, kleven er aan het hebben van een RDB ook nadelen:

Iedereen mag opeens ongevraagd een schroevendraaier tussen de deur steken. Was vroeger iedereen die dat deed strafbaar bezig, nu gaat iedereen min of meer vrijuit totdat de regels van het RDB worden overtreden. Kwaadwillenden kunnen misbruik van deze situatie maken en vrijwel ongestoord kwetsbaarheden in kaart brengen en zich vervolgens verschuilen achter het RDB.

Elke hobbyist kan de veiligheid van systemen gaan onderzoeken, een gebrek aan de benodigde vaardigheden kan leiden tot onbedoelde schade.

Het hebben van een RDB met een beloningsbeleid kan een sterk aanzuigende werking hebben op beveiligingsonderzoekers. Er circuleren op het Internet al zogenaamde "bug bounty lists" rond waarin bedrijven genoemd worden die beloningen uitkeren voor het melden van kwetsbaarheden. Als gevolg kan het voorkomen dat een groot aantal onderzoekers al dan niet met automatische tools op zoek gaan naar kwetsbaarheden. Dit kan problemen opleveren voor de stabiliteit en beschikbaarheid van de betreffende systemen en/of extra druk leggen op een Security Operations Center.

Wat is verstandig?

Ondanks de genoemde nadelen voor beide kanten, is het voor bedrijven toch aan te raden om een RDB op te zetten. Het is de richting die we uiteindelijk met zijn allen op moeten gaan. Hoe goed men software ook ontwikkelt, hoe goed deze ook getest wordt, er zullen altijd kwetsbaarheden aanwezig zijn. Een goede samenwerking tussen de hacker-community en bedrijven kan helpen deze kwetsbaarheden te identificeren voordat dit door kwaadwillenden wordt gedaan. Belangrijk hierbij is dat de intenties van beide partijen juist zijn en dat men oog heeft voor zowel de belangen van het bedrijf als die van de hacker. De spelregels in het RDB van het bedrijf moeten dit belichamen, waarbij het doel is een ecosysteem van wederzijds vertrouwen te realiseren. Een goed voorbeeld van een dergelijk RDB is opgesteld door Floor Terra op deze website

Hoewel het zo is dat het ministerie met de uitgave van de leidraad de huidige wetgeving intact heeft gelaten, is de kans groot dat regels die er in beschreven staan toch door rechters meegenomen worden in hun oordeel bij uitspraken over ethisch hacken. Op deze wijze zal het zijn weg naar de jurisprudentie vinden en mogelijk ook van invloed worden op bedrijven die geen RDB hanteren. Uiteindelijk zou het mooi zijn als de ongeschreven wetten hun weg richting wetgeving weten te vinden, waarbij de belangen, rechten en plichten van zowel hackers als bedrijven evenwichtig worden behartigd.