Henk Krol krijgt pluim en boete voor journalistieke hack EPD

Henk Krol is schuldig bevonden aan computervredebreuk en krijgt een boete van 750 euro, meldde Webwereld vrijdag. De rechtbank vindt wel dat hij zorgvuldig te werk ging bij het in kaart brengen van het lek. Vorig jaar had de politicus van een tipgever gehoord dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Die misstand aan de kaak stellen was gepast, maar hij had niet zo veel dossiers mogen opvragen als hij had gedaan. En meteen naar de media rennen was ook niet helemaal zoals het hoorde.

De beveiliging van een gevoelig medisch systeem zoals een EPD is natuurlijk al snel nieuwswaardig. En bij beginnersfouten zoals gelijkluidende gebruikersnamen en wachtwoorden (of wachtwoorden van vijf tekens) is het dan ook al snel goed om aan de bel te trekken. Maar, een beetje ethisch hacker seint éérst de dienstverlener in en geeft deze een kans het probleem te herstellen. En dat is waar Krol een beetje te snel ging: na één afpoeiertelefoontje al naar de pers stappen is niet hoe het hoort. En dat de telefoniste hem niet wilde doorverbinden met een verantwoordelijke maar zei dat hij maar een brief moest sturen, maakte daarbij niet uit. Hij had op zijn minst kunnen wáárschuwen dat hij journalist was en dat het hem ernst was.

Ook het feit dat er geen technisch probleem met de beveiliging was, maar enkel één gebruiker met een dom wachtwoord, maakte dat de actie nogal overtrokken was, aldus de rechtbank. Er was geen aanwijzing dat die zwakke wachtwoorden een epidemie (haha, hij zei epidemie en het is bij een EPD) waren. En bij één dom wachtwoord al de pers bellen, gaat wat snel. Daar heb ik dan weer moeite mee: dat één zo’n zwak wachtwoord kan, bewijst dat er geen adequate checks op wachtwoorden zitten. En dan durf ik wel te zeggen dat er meer henk/henk userpasswordcombinaties zijn.

En zoals verwacht maakt de rechtbank er ook een stevig punt van dat Krol in aanwezigheid van de cameraploeg van Omroep Brabant diverse dossiers had opgevraagd, in plaats van alleen de strikt noodzakelijke. “Mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten”, heet het dan. Maar, eh, is niet juist het nieuws dát er zo veel dossiers op te vragen zijn met zo’n zwak wachtwoord? Kun je dat nieuwsfeit wel onderbouwen met één opvraging van één dossier? Maar oké, hij had een paar vrienden kunnen vragen of hij hun dossier mocht lichten als bewijs, in plaats van random users.

Daarbij woog ook nog mee dat Krol bepaalde gegevens meermalen opvroeg. Dat bewijst volgens de rechtbank dat hij niet zorgvuldig te werk ging. Hm. Ik zou denken, als ik in zo’n systeem zit dan ga ik ook eerst op knoppen drukken om te zien of het écht is, en pas als ik van de schrik bekomen ben, zou ik m’n printscreenknop te voorschijn halen. En ja, dan sta je dus dingen twee keer op te vragen.

De rechtbank twijfelt bij dit alles niet aan de goede bedoelingen van verdachte, aldus de rechtbank. Daarom wordt de geëiste boete naar €750 euro gezet.

De meer dan een ton aan schadeclaim van het zwakkewachtwoordentoelatende DvU wordt teruggebracht tot € 1.000afgewezen. De rechtbank kan niet vaststellen of sprake is van voldoende causaal verband tussen de hack en de geclaimde schade, want die is maar matigjes onderbouwd. Ook is niet duidelijk in hoeverre de schade als “eigen schuld” aan te merken is, en dat is toch echt een grond om een schadevergoeding te verlagen.

Ik ben nu wel aan het twijfelen: was het nu echt zo overtrokken wat Krol deed? Moet je bij een zwak wachtwoord op een EPD-account inderdaad maar een brief sturen en na de mededeling “dank u, het wachtwoord is gewijzigd” het erbij laten? Ligt het nou aan mij of ís het gewoon nieuws dat dit kon gebeuren?

Arnoud

Henk Krol, EPD-hacker, eh wacht, wat?

Medisch onderzoekscentrum ‘Diagnostiek voor U’ gaat schadevergoeding eisen van Kamerlid Henk Krol die in april een EPD-lek heeft onthuld, meldde Webwereld. Hij downloadde eerder dit jaar medische dossiers via het EPD nadat hij erachter kwam dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Een gevalletje “let’s shoot the messenger”, lijkt het.

Natuurlijk, je mag niet inloggen op een account waar je geen officiële toegang toe hebt. Of het wachtwoord sterk of zwak is, maakt voor de wet niet uit. Computervredebreuk is computervredebreuk. Maar wanneer het nieuwsbelang zeer groot is, kán het zijn dat de rechter de strafwet buiten toepassing laat of je laat wegkomen met een schuldigverklaring zonder straf. Een bekend al wat ouder voorbeeld is de Revu-hack, waarbij het tijdschrift de privé-e-mailbox (brr wat een woord) van toen-staatssecretaris Jack de Vries wist te bruteforcen. Dat mocht van de rechter, hoewel het daarna snuffelen in de mailtjes alsnog werd bestraft.

Die zaak doortrekken zou betekenen dat Krol wél had mogen kijken of het klopt, die debiel slechte wachtwoorden, maar dat hij niet vervolgens allerlei dossiers had mogen opvragen. Want dat iedere ingelogde user bij ieder dossier kan, is een feature en geen bug. De nieuwswaarde daarvan is dus nul.

DvU pakt wel heel stevig uit met hun schadeclaim: alle gemaakte uren plus facturen van een extern bedrijf voor alle noodreparaties en herstelwerk. Of je dát allemaal aan Krol kunt wijten, waag ik toch te betwijfelen.

En hoe je dan boven een ton uitkomt al helemaal. Ik kan me dat bedrag alleen voorstellen als ze naast het noodwerk ook de tijd voor structurele verbeteringen hebben meegeteld. En dát mag niet, zo bleek uit de DDoS-kabouterschadeclaimzaak waarin overheidsautomatiseerder ICTU een dikke vier ton vorderde voor oplossen problemen en structureel herstel van schade. Nee, zei de rechter:

Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.

Ik kan me niet voorstellen dat de situatie hier anders is.

Overigens, zoals mijn collega Matthijs al schreef, Krol zal niet wegkomen met dat hij parlementariër is: alleen voor uitlatingen tijdens de vergadering van het parlement heeft hij immuniteit. Het zou wel wat zijn om dan eens live een hack uit te voeren, maar dat terzijde.

Arnoud