Re: Responsible disclosure richtlijn is onverantwoord risico

Floor Terra - 2013-01-04 00:43:27

Vandaag heeft het Minister Opstelten (Veiligheid en Justitie) een leidraad gepubliceert over het verantwoord melden van beveiligingslekken. Na een periode van veel media-aandacht voor beveiligingslekken en arrestaties van hackers heerst er veel onzekerheid. Hackers durven niet meer bedrijven te helpen en bedrijven reageren vaak in paniek. Ik zou graag zien dat het onderlinge vertrouwen weer hersteld wordt.

Het initiatief van Opstelten is een goede stap vooruit. Door als overheid aan te geven dat je de hulp van hackers goed kan gebruiken en duidelijke richtlijnen te geven voor wat acceptabel is en wat niet verwacht ik dat het vertrouwen tussen overheid en hackers versterkt kan worden. Ik hoop ook dat het bedrijfsleven dit voorbeeld volgt.

Brenno de Winter heeft vanwege dit gebrek aan vertrouwen erg vaak als medium gefungeerd tussen hackers en bedrijven en overheden. Door de bronbescherming die een journalist kan bieden blijven de hackers meestal veilig en anoniem. Brenno heeft hiermee een ontzettend waardevolle dienst verleend aan onze maatschappij. Het zou erg waardevol zijn als beveiligingsproblemen ook aangekaart zouden kunnen worden zonder dat daar een journalist aan te pas hoeft te komen. Daarvoor is echter vertrouwen nodig.

Volgens een recent artikel van Brenno heeft hij geen vertrouwen in dit initiatief. Ik ben veel positiever dan Brenno.

Brenno noemt het feit dat het OM zelfstandig kan besluiten tot vervolging. Als onderbouwing linkt hij naar een tweet van Lodewijk van Zwieten, dé cybercrime Officier van Justitie. Maar Lodewijk van Zwieten geeft ook aan dat Opstelten met het OM gaat praten om hier duidelijke richtlijnen over op te stellen in een andere tweet. Om hier nu al kritiek op te hebben vind ik wel erg vroeg. Als ik zie hoe de leidraad tot stand is gekomen met input van individuele hackers, industrie en overheid heb ik er veel vertrouwen in dat ook bij de gesprekken met het OM alle belangen zorgvuldig afgewogen worden.

Een punt waar ik het eens ben met Brenno is dat soms instellingen een externe motivatie nodig hebben om problemen op te lossen. De kans is echter groot dat instellingen die inzien dat ze voordeel hebben bij een responsible disclosure procedure ook inzien dat ze niet zomaar lekken open kunnen laten staan. Maar wat als een instelling toch besluit om een lek niet te repareren of gewoonweg geen reactie geeft op de melding? Mijn ervaring is dat het heel effectief kan zijn om dan melding te doen bij het NCSC. Een signaal van het NCSC komt heel anders over op een instelling dan een signaal van een onbekende hacker.

Ik zal de ontwikkelingen rond responsible disclosure aandachtig blijven volgen en ik heb veel vertrouwen in de manier waarop het NCSC dit aanpakt.