“Richtlijn ethische hacker groot risico”

Abonneer je gratis op Techzine!

De richtlijn van minister Opstelten voor ethische hackers die beveiligingsproblemen willen rapporteren heeft grote risico’s, zo stelt Hoffmann Bedrijfsrecherche.

Volgens het bedrijf wordt het daardoor onduidelijk wat wel en wat niet meer strafbaar is. "Het voorstel van de Minister geeft een goede impuls aan de discussie, maar wij zien tegelijkertijd een aantal bedreigingen", aldus het recherchebureau tegenover Security.NL.

Eén praktisch probleem is bijvoorbeeld aansprakelijkheidssteling. Ethische hackers hebben geen diploma’s waaruit hun kundigheid blijkt, zijn niet aangesloten bij een branchevereniging en werken soms anoniem.

Ook geeft de richtlijn nu mogelijkheden om het delict computervredebreuk te omzeilen. "De wet is momenteel juist duidelijk en beschermt de infrastructuur van bedrijven. De voorgestelde aanpassingen lijken excuses bieden aan hackers waarvan op voorhand de goede intenties niet duidelijk zijn", aldus Hoffmann.

Richtlijnen om digitale sloten op de proef te stellen, zijn volgens het bedrijf dan ook niet nodig. "Dit zullen organisaties niet op prijs stellen en zal vooral veel onduidelijkheid creëren. Met alle gevolgen van dien."

De richtlijn Ethisch hacken werd eergisteren voorgesteld. In de richtlijn staan regels voor zowel bedrijven als hackers. Zo mogen hackers volgens de richtlijn geen gebruik maken van social engineering, het plaatsen van backdoors, het verder benutten van een kwetsbaarheid dan noodzakelijk en het gebruik maken van bruteforce.

Ook moeten beide partijen een termijn bepalen waarin de kwetsbaarheid wordt opgelost. De richtlijn stelt hiervoor een termijn voor van 60 dagen voor softwarematige kwetsbaarheden en 6 maanden voor hadware. Ook kunnen beide beslissen over de openbaarmaking van de kwetsbaarheid.

Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid, laat weten dat het geen vrijbrief is om andermans systemen zomaar te gaan hacken. "Dit is geen vrijbrief om maar te doen wat je wilt, het is een kader waarmee je als bedrijf, als je het van tevoren kenbaar maakt, duidelijk maakt dat je geinteresseerd bent om te weten wat voor kwetsbaarheden je hebt en dat je die op verantwoorde wijze gemeld wilt zien en daar op een normale manier mee omgaat."