Responsible disclosure richtlijn is onverantwoord risico

Donderdag introduceert minister Opstelten van Veiligheid en Justitie een richtlijn voor responsible disclosure. Het is een leuke gedachte-oefening, maar voor hackers bloedlink en volkomen zinloos.

De gedachte bij responsible disclosure is dat er een verantwoorde manier wordt gevonden om beveiligingsproblemen aan te melden bij organisaties. Daarbij is het de bedoeling dat het zo wordt gemeld dat niet meteen alle gegevens op straat liggen. Er was veel onduidelijkheid in de bestaande regelgeving en daarom heeft het National Cyber Security Center een richtlijn opgesteld.

Zelf melden
De basisgedachte is dat de ontdekker van een lek zichzelf meldt bij de betreffende organisatie. Die bepaalt vervolgens of ze aangifte doet of niet. Als men besluit tot aangifte, mag duidelijk zijn dat er meteen voldoende informatie is om de eerlijke melder juridisch aan te pakken. En in mijn werk zie ik helaas vaak gebeuren dat organisaties eerst zoveel mogelijk informatie tot zich nemen, om vervolgens alsnog aangifte te doen.

Ook gaat de richtlijn voorbij aan het feit dat het OM soms zelfstandig een onderzoek start en de afspraken uit de richtlijn, die gaan over de relatie tussen bedrijf en hacker, zijn dan volkomen zinloos. Dat gebeurde bijvoorbeeld in mijn strafzaak rond de OV-chipkaart, wat inmiddels door Lodewijk van Zwieten, dé cybercrime Officier van Justitie, op twitter is bevestigd.

Zoek geen contact met de media!
De route via de media wordt in de richtlijn ontraden, omdat privacygevoelige informatie dan meteen op straat zou liggen. Een vooroordeel van het kaliber ‘alle moslims zijn terroristen’, wát een onzin! Zelf meld ik altijd een lek bij een organisatie en publiceer ik geen artikelen voordat het lek gedicht is. Van de ruim 500 lekken die bij mij zijn gemeld is het slechts één keer voorgekomen dat er iets is gepubliceerd toen het lek niet gedicht was. Dat betrof een onwillige organisatie die het probleem bleef ontkennen en bleef hangen in dreigementen.

Bronbescherming
Maar voor de hacker zijn er belangrijkere redenen om juist wel via de media melding te doen. Journalisten hebben een bronbescherming waardoor de hacker uit de wind wordt gehouden. Daarnaast gaat het veel hackers (of: ontdekkers van zwakheden) er niet om die ene organisatie gelukkig te maken door ze op hun fouten te wijzen, maar willen ze een groot publiek waarschuwen voor de gevaren. Het gaat immers om hun gegevens en niet om het bedrijf of de overheidsinstelling.

Daarnaast is het ongelofelijk optimistisch te denken dat hackers zich met deze richtlijn rechtstreeks gaan melden, want je loopt nogal wat risico. In december werd al duidelijk dat het wantrouwen – juist door het handelen van de overheid – enorm groot is.

Naïef
Maar de richtlijn schiet op meer punten tekort. Als een organisatie het lek niet kan dichten mag er geen melding van worden gemaakt in de media, maar die dreiging kan juist helpen om net iets beter te zoeken naar een oplossing. En waarom zouden anderen (kwaadwillenden) niet hetzelfde lek kunnen vinden met alle gevolgen van dien?

Deze richtlijn toont de onvolwassenheid van de beveiligingsindustrie. In de luchtvaart leren we van fouten door ze publiek te maken en lessen te trekken. In de ICT houden we de problemen liever geheim en vervolgen we de boodschapper. Daarom zal ik nog jarenlang moeten schrijven over problemen die eenvoudig voorkomen hadden kunnen worden. Hoe responsible is dat?