Een lezer vroeg me:
Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?
Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.
Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.
Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.
Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.
Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.
(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)
Arnoud
Gaat het voeren van een argument of verdediging in een rechtszaak boven een geheimhoudingsovereenkomst als dat gegeven cruciaal is in de zaak?
Als de geheimhouding gaat over een gevonden lek in de website, dan is de AVG waarschijnlijk van toepassing. Als jouw gegevens in die database staan (al dan niet daar pas ingekomen nadat jij van de lek af wist), kan je dan de normale AVG klacht stappen doorlopen ook al heb je een geheimhouding getekend? Inclusief een verzoekschrift / dagvaarding (link)?
Als het geheime recept van een bedrijf een illegaal ingredient bevat, dan verwacht ik dat je daar alsnog melding van mag maken.
“Je motivatie is dat het bedrijf het oplost”, maar je doet het uiteindelijk voor de maatschappij en het belang van de klanten. Zodra je het doet als leverancier van veiligheidsdiensten aan het bedrijf, met geheimhouding regels, ben je commercieel bezig en niet “ethisch hacken”: Hebben die klanten dan geen recht te weten dat er veiligheidsfouten in het product zaten?
Op het moment:
dan blijf je kalm, ga je er niet mee zitten experimenteren verder, en schrijf je een duidelijke en realistische security vulnerability report. Je stuurt dit naar de juiste persoon (zie security.txt). Je kan dit zelfs encrypten met PGP, ofzo. Het bedrijf pakt dit in de meeste gevallen snel op. Je kan vragen om updates hierin, en of ze een timeline hebben.
Je stelt zelf een deadline voor openbaar maken. Sommigen houden 1 maand in (in zeer zware gevallen, zoals misbruik door “state actors”. 3 maanden is gangbaar. Maar 6 maanden of 1 jaar is ook verdedigbaar. Daarna publiceer je de bug, en beschrijf je hoe het bedrijf je heeft behandeld en vermeden. In de praktijk is dit met bug bounties en ethisch hacken (credit nemen) vaak gewoon goed geregeld.
In Nederland hebben we de beleidsbrief van het OM over ethisch hacken</>.
Er is bij mijn weten nooit een zaak geweest over het openbaar maken na een melding. Wel is er een zaak geweest over het andersom: eerst publiek maken, met het verweer dat de eigenaar een reputatie had om slecht om te gaan met meldingen. ECLI:NL:RBDHA:2018:10451
De afweging over het melden/openbaar maken wordt benoemd maar helaas zonder verder commentaar.
Mijn indruk is dan wel dat als je het meldt, en de kwetsbare partij kans geeft om het op te lossen, dat het daarna geoorloofd is om het publiek te maken. Zeker als daar een publiek belang bij speelt.
In zo’n geval zal het NCSC je kunnen helpen met advies, of de melding van je overnemen.
Responsible disclosure kan naast “Bedrijf, je hebt lek, zo zit het precies in elkaar, dicht het.” toch ook zijn “Mensen, bedrijf heeft een lek, zo kun je het vermijden, pas goed op.”?
“Mensen, bedrijf heeft een lek, zo zit het precies in elkaar, maak er gebruik van.” zou dan weer irresponsible disclosure zijn.