Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te vervolgen die met open kaart en goede bedoelingen een beveiligingsprobleem aankaarten. Maar -de comments lezende- toch maken mensen zich best wat zorgen over dat loggen, leg je zo niet je hoofd op het hakblok?
De wet is wat het testen van andermans systemen betreft duidelijk: dat mag niet, punt. Er is sprake van computervredebreuk als je binnengaat in een computersysteem, beveiligd of niet, terwijl je weet of had moeten weten dat je daar niet mag zijn. Je bedoelingen doen daarbij niet ter zake, dus of je nu binnengaat om data te kopiëren voor eigen gewin of om te dubbelchecken dat de database écht idioot slecht beveiligd is, is naar de letter van de wet hetzelfde misdrijf.
De praktijk van slechte beveiliging anno 2018 laat echter zien dat er grote behoefte is aan mensen die problemen signaleren, bij voorkeur voordat het écht grote problemen worden. Liever een ethisch hacker in je mail dan een datalek in de krant, zeg maar. Maar vanwege die strenge wet is het dan zoeken tussen de belangen van beide partijen, en het gebruikelijke compromis komt dan uit bij responsible disclosure: op een nette manier de organisatie inlichten en afspraken maken over wanneer het wordt hersteld en wanneer het wordt gepubliceerd. Werkt de organisatie niet mee, dan mag je publiceren zonder toestemming.
Je komt dan in strafrechtelijk vaarwater. Eerder publiceerde de overheid daarom al de aanbeveling voor organisaties om responsible disclosure-beleid te publiceren, met daarin een stappenplan voor jouw organisatie om hoe om te gaan met zulke tips van buitenaf. Deel daarvan is de toezegging dat er geen aangifte (of civielrechtelijke stappen) wordt gedaan. En het OM pakt nu op dat punt door en zegt in feite dat wanneer iemand handelt binnen zulk beleid, zij niet tot vervolging zullen overgaan. Dus ook als het bedrijf vervolgens alsnog aangifte doet.
Natuurlijk moet je wel kunnen aantonen dat je werkelijk responsible oftewel ethisch hebt gewerkt. Daarbij is loggen van groot belang, vandaar het advies. En toegegeven, dan documenteer je dus je misdrijf en die informatie is te pakken te krijgen als men wél besluit je te vervolgen en daarbij je computer doorzoekt. Dat is inderdaad een tweesnijdend zwaard. Maar als je dát anders wilt doen, dan moet je in de wet opnemen dat het binnendringen in een slecht beveiligd systeem niet strafbaar is, en dat heeft dan weer hele vergaande gevolgen de andere kant op.
Arnoud