Waar ligt de grens van ethical hacking? (Dutch)

This is a column in Dutch I wrote for Deloitte in February 2013 about ‘ethical hacking’, stored here for archiving purposes.

Terwijl ik deze blog schreef werd het onderwerp van de blog met het moment actueler. De grens van ethical hacking kwam namelijk regelmatig ter sprake rondom de rechtszaak tegen Henk Krol. Een mooie gelegenheid om eens wat dieper op het onderwerp in te gaan. Maar wat is ethical hacking?                                           

Ethical hacking is op te splitsen in twee groepen, een groep professionals die voor hun dagelijkse werkzaamheden ethical hacking gebruiken in opdracht van bedrijven en een groep ‘vrijwillige’ ethical hackers welke niet gelimiteerd is door contractuele afspraken of beroepsethiek. De eerste groep heeft duidelijke grenzen, namelijk de grenzen van de opdracht en de contractuele afspraak tussen klant en beveiligingsbedrijf. De vrijwillige ethical hacker gaat op eigen houtje te werk en is niet gehinderd door enige ervaring of diepere kennis van onderliggende systemen. Hier schuilt het gevaar: een stuk software draaien welke beveiliging test zonder de precieze werking van deze software te kennen is gevaarlijk, zonder dat je het weet kan je achterliggende systemen corrupt maken of plat leggen.

 

Hoe ver moet je gaan?

Er is een verschil tussen het opmerken van een beveiligingsprobleem, en het downloaden van kwetsbare gegevens én het achterlaten van malware om later nog eens terug te komen. Om een vergelijking te maken met het dagelijks leven: Stel je loopt langs een supermarkt en ziet de achterdeur openstaan, dan meld je dit en de supermarktmanager is je erg dankbaar. Ga je echter naar binnen, drinkt wat biertjes en zet een raam open om later terug te komen dan zal iedereen begrijpen dat je te ver bent gegaan. Er was immers geen noodzaak om na het constateren van de open deur nog verder onderzoek te doen naar de ernst van het beveiligingsrisico. Helaas lijkt het in de digitale wereld een stuk onduidelijker te zijn hoe ver je kunt gaan.

Een ander voorbeeld van het passeren van de grens is de hack van het Groene Hart Ziekenhuis, waar de dader een groot aantal gegevens downloadde en een backdoor achterliet. Het lijkt erop dat in Nederland het idee leeft dat alle personen die zich ethical hacker noemen goede dingen doen, daarbij wordt het bijna als verdediging gebruikt om je ethical hacker te noemen. Hacken is inderdaad spannend en uitdagend, maar alvorens iemand zich ziet als ethical hacker is het goed om jezelf eens af te vragen hoe ethisch je handelingen daadwerkelijk zijn.

 

Pers

Op dit moment wordt snel naar de pers gestapt wanneer een beveiligingsprobleem wordt ontdekt. De gedownloade gegevens worden direct verder verspreid, in plaats van het probleem te melden bij het bedrijf. Dit zal een kick zijn bij een hacker, maar ook hier kun je je afvragen hoe ethisch het is om dit te doen. Het lekken van gegevens, en het niet tijdig kunnen oplossen van het probleem, kan bij een bedrijf leiden tot imagoschade. Hier kun je je opnieuw afvragen of dit ethisch verantwoord is. Responsible disclosure kan hiervoor als leidraad dienen.

 

Verantwoordelijkheid

Dat een ethisch hacker ook echt ethisch zou moeten handelen, neemt natuurlijk niets weg van het feit dat een bedrijf zelf verantwoordelijk is voor de beveiliging en het oplossen van een beveiligingsprobleem. Het is op dit moment te vrijblijvend voor bedrijven om wel of niet iets aan een securityprobleem te doen. De oplossing is niet om als hackers over de grens van ethisch hacking te gaan, maar om deze vrijblijvendheid voor bedrijven aan te pakken. Dit is iets wat de overheid met de juiste regelgeving zou moeten reguleren. Het lijkt mij dan ook dat hier nog een flinke taak voor de overheid ligt.

In de tussentijd kunnen ambitieuze en enthousiaste ethische hackers de uitdaging vinden in een baan, er is immers altijd genoeg vraag naar goede beveiligingsexperts. Maar een baan in dit vakgebied kan een heel stuk moeilijker worden op het moment dat je veroordeeld bent wegens het niet zo ethisch hacken.