Henk Krol is schuldig bevonden aan computervredebreuk en krijgt een boete van 750 euro, meldde Webwereld vrijdag. De rechtbank vindt wel dat hij zorgvuldig te werk ging bij het in kaart brengen van het lek. Vorig jaar had de politicus van een tipgever gehoord dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Die misstand aan de kaak stellen was gepast, maar hij had niet zo veel dossiers mogen opvragen als hij had gedaan. En meteen naar de media rennen was ook niet helemaal zoals het hoorde.
De beveiliging van een gevoelig medisch systeem zoals een EPD is natuurlijk al snel nieuwswaardig. En bij beginnersfouten zoals gelijkluidende gebruikersnamen en wachtwoorden (of wachtwoorden van vijf tekens) is het dan ook al snel goed om aan de bel te trekken. Maar, een beetje ethisch hacker seint éérst de dienstverlener in en geeft deze een kans het probleem te herstellen. En dat is waar Krol een beetje te snel ging: na één afpoeiertelefoontje al naar de pers stappen is niet hoe het hoort. En dat de telefoniste hem niet wilde doorverbinden met een verantwoordelijke maar zei dat hij maar een brief moest sturen, maakte daarbij niet uit. Hij had op zijn minst kunnen wáárschuwen dat hij journalist was en dat het hem ernst was.
Ook het feit dat er geen technisch probleem met de beveiliging was, maar enkel één gebruiker met een dom wachtwoord, maakte dat de actie nogal overtrokken was, aldus de rechtbank. Er was geen aanwijzing dat die zwakke wachtwoorden een epidemie (haha, hij zei epidemie en het is bij een EPD) waren. En bij één dom wachtwoord al de pers bellen, gaat wat snel. Daar heb ik dan weer moeite mee: dat één zo’n zwak wachtwoord kan, bewijst dat er geen adequate checks op wachtwoorden zitten. En dan durf ik wel te zeggen dat er meer henk/henk userpasswordcombinaties zijn.
En zoals verwacht maakt de rechtbank er ook een stevig punt van dat Krol in aanwezigheid van de cameraploeg van Omroep Brabant diverse dossiers had opgevraagd, in plaats van alleen de strikt noodzakelijke. “Mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten”, heet het dan. Maar, eh, is niet juist het nieuws dát er zo veel dossiers op te vragen zijn met zo’n zwak wachtwoord? Kun je dat nieuwsfeit wel onderbouwen met één opvraging van één dossier? Maar oké, hij had een paar vrienden kunnen vragen of hij hun dossier mocht lichten als bewijs, in plaats van random users.
Daarbij woog ook nog mee dat Krol bepaalde gegevens meermalen opvroeg. Dat bewijst volgens de rechtbank dat hij niet zorgvuldig te werk ging. Hm. Ik zou denken, als ik in zo’n systeem zit dan ga ik ook eerst op knoppen drukken om te zien of het écht is, en pas als ik van de schrik bekomen ben, zou ik m’n printscreenknop te voorschijn halen. En ja, dan sta je dus dingen twee keer op te vragen.
De rechtbank twijfelt bij dit alles niet aan de goede bedoelingen van verdachte, aldus de rechtbank. Daarom wordt de geëiste boete naar €750 euro gezet.
De meer dan een ton aan schadeclaim van het zwakkewachtwoordentoelatende DvU wordt teruggebracht tot € 1.000afgewezen. De rechtbank kan niet vaststellen of sprake is van voldoende causaal verband tussen de hack en de geclaimde schade, want die is maar matigjes onderbouwd. Ook is niet duidelijk in hoeverre de schade als “eigen schuld” aan te merken is, en dat is toch echt een grond om een schadevergoeding te verlagen.
Ik ben nu wel aan het twijfelen: was het nu echt zo overtrokken wat Krol deed? Moet je bij een zwak wachtwoord op een EPD-account inderdaad maar een brief sturen en na de mededeling “dank u, het wachtwoord is gewijzigd” het erbij laten? Ligt het nou aan mij of ís het gewoon nieuws dat dit kon gebeuren?
Arnoud