Naar aanleiding van het idee van PvdA kamerlid Pierre Heijnen om hackers bescherming te bieden als zij te goeder trouwe handelen, en een beveiligingsfout melden aan de verantwoordelijke organisatie (hetzij overheid, hetzij bedrijfsleven) heb ik heel wat meningen voorbij zien komen. De een is het er roerend mee eens, de ander vindt het niet ver genoeg gaan en een enkeling is bang dat de bescherming een vrijbrief zou zijn voor criminelen. Het is erg vroeg om nu al conclusies te trekken: het voorstel moet in de komende maanden nog worden uitgewerkt en pas dan is een zinnige beoordeling te maken.

Uitgangspunt in de regeling zou mijns inziens moeten zijn dat onafhankelijke toetsing van een ICT-systeem bijdraagt aan de algehele veiligheid. De overheid als opdrachtgever bestaat vooral uit juristen en boekhouders. De opdrachtnemers, de bedrijven die voor de overheid ICT verzorgen, zijn commerciële instellingen die simpelweg winst willen (moeten) maken.

ITsec industry per definitie niet onafhankelijk

Een veelgehoord argument tegen de regeling is dat er voldoende bedrijven met verstand van zaken zijn. Een organisatie kan deze bedrijven inhuren om de veiligheid van haar systemen te onderzoeken en een rapport uit te brengen. Dit is de huidige praktijk. Een recent voorbeeld is het digitale loket van Amsterdam. Dit bleek lek te zijn, het was mogelijk om zonder wachtwoord of gebruikersnaam de inhoud van de site te wijzigen en gebruikers naar een andere site te leiden. De gemeente Amsterdam nam een beveiligingsbedrijf in de arm, en verklaarde na een oppervlakkig onderzoek dat alles veilig was. De dag erop werd opnieuw een lek gevonden en de procedure herhaalde zich.

En dit is waar de schoen wringt. Ik weet dat het bedrijf in kwestie over voldoende kennis en kunde beschikt om een systeem compleet door te lichten. Maar wat een bedrijf kan en wat er van hen gevraagd wordt zijn natuurlijk twee verschillende zaken. In het bovenstaande voorbeeld is het bedrijf uitsluitend gevraagd om te onderzoeken of het ontdekte lek misbruikt is. Dat de rest van het systeem mogelijk ook zo lek is als een mandje wordt buiten beschouwing gelaten. Daar wordt het betreffende bedrijf niet voor betaald, en elke ondernemer weet dat het zakelijk onverstandig is om structureel meer te doen dan waar je voor wordt betaald.

De hacker echter is niet gemotiveerd door commerciële belangen, maar ontdekt beveiligingsfouten vaak in zijn of haar vrije tijd. Hackers zijn ook gewoon burgers, en moeten paspoorten of toeslagen aanvragen. Wat de hacker echter onderscheidt van de rest van de wereld, is zijn nieuwsgierigheid en opmerkzaamheid. Een hacker ziet al snel patronen in een onschuldig ogend invulformulier van de gemeente, en gaat verder zoeken. En komt dan vaak tot de ontdekking dat er van alles rammelt.

Goed gedrag bestraft

Nu zijn er twee soorten hackers: zij die net als ieder ander besef hebben van wat moreel juist is en zij die net als criminelen daar minder precies in zijn. De laatste groep vormt, net als in de rest van de samenleving, een minderheid. Hackers uit de eerste groep willen net als ieder ander misstanden melden in de hoop dat er iets aan gedaan wordt. Vergelijk dit met een toevallige passant die getuige is van geweld op straat. Ieder weldenkend mens zal dit terstond melden aan de politie, en zichzelf later als getuige beschikbaar stellen. Misschien zelfs proberen om escalatie te voorkomen door de aanvaller tegen te houden.

Het rare is dat dit bij de beveiliging van ICT-systemen heel anders ligt. Wie ontdekt dat er een beveiligingsprobleem is en dit netjes meldt, kan vaak rekenen op dreigementen. De eerste reactie is vrijwel altijd in termen van juridische maatregelen. Oftewel: degene die een probleem constateert en meldt krijgt straf. Zou het niet raar zijn als je als getuige van geweld op straat zou worden aangeklaagd door de overvaller, omdat je zijn broodwinning onmogelijk maakt? Ik zou me wel drie keer bedenken voor ik me in het vervolg nog zou bekendmaken als getuige.

En dat is precies wat nu gebeurd. Waar de opdrachtgevers en -nemers falen en beveiligingsproblemen laten liggen, zijn het hackers die onafhankelijk en ongevraagd deze problemen wel ontdekken. Helaas worden de problemen zelden gemeld, simpelweg omdat het inmiddels duidelijk is dat men dan kan rekenen op minstens een paar maanden onzekerheid en dreigende veroordeling. Daarnaast wordt het lastig om nog een baan te vinden bij de overheid of in de ICT industrie, want een verklaring van goed gedrag kan je op je buik schrijven.

Dat hackers problemen niet meer durven te melden is kwalijk. Immers, als hackers die te goeder trouw handelen deze problemen kunnen vinden, dan kunnen hackers met minder moreel besef dat ook. En die zullen al helemaal niet geneigd zijn het lek te melden, maar zullen het ten volste misbruiken voor eigen gewin. Vaak had dat voorkomen kunnen worden. Het is eigenlijk een simpel rekensommetje: de goede hackers zijn in de meerderheid. De kans dat een probleem dus eerder door een ‘white hat’ (de informele term voor een goede hacker) wordt ontdekt is groter dan dat een ‘black hat’ (kwade hacker) datzelfde probleem als eerste ontdekt.

Lastige maar noodzakelijke klus

De regeling die wordt voorgesteld zou bovenstaand probleem moeten adresseren. En ja, wanneer handelt iemand te goeder trouw? Dat is inderdaad soms een ‘tough call’, maar vaak ook compleet evident. Wie, zoals aangehaald in een blogpost vanuit de beveiligingsindustrie, een botnet moet inzetten om iets aan te tonen gaat te ver. Wie pas ver na het ontdekken van de problemen melding maakt, had misschien andere motieven. Het lijkt mij dat dit echter, net als bij alle andere juridische aangelegenheden, op individuele basis door een rechter getoetst kan worden.

Het steggelen over de exacte tekst laat ik graag aan juristen. Dat is niet mijn vak. Het is wel belangrijk dat we daarbij niet alleen juristen uit de industrie horen, maar ook juristen die zich meer verwant voelen met de onafhankelijke hackergemeenschap. Ik heb er alle vertrouwen in dat Heijnen en zijn collega’s in de andere 119 zetels die achter dit idee staan bij de uitwerking alle kanten van het verhaal zullen beschouwen.

Dat niet altijd duidelijk is wat nu precies ‘te goeder trouw’ is, en wat nu de definitie van ‘ICT-systeem’ zou moeten zijn lijkt mij geen reden om het hele idee meteen van de tafel te vegen. Het is een moeilijke opgave, maar de bescherming van onze identiteitsgegevens is dat meer dan waard.

Zojuist is onderstaande brandbrief in de ronde tafel van de commissie BiZa van de Tweede Kamer uitgereikt. De hackerspaces en organisaties van Nederland spreken zich hier expliciet uit over het gebrek aan besef van ICT-beveiliging bij de Nederlandse overheden. De brief is opgesteld en ondertekent door alle Nederlandse hackerspaces en drie organisaties die de Nederlandse hacker-community verenigen. De brandbrief is tevens verstuurd aan de landelijke media. Wij hackers zijn het simpelweg zat om keer op keer te moeten vernemen dat bij de implementatie van grote ICT overheidssystemen kinderlijke vergissingen worden gemaakt die de privacy van burgers aantast en soms zelfs tot gevaar voor mensenlevens lijdt.

De verenigde Nederlandse hackerspaces en organisaties
Postbus 503
2501 HJ Den Haag

Aan: de leden van de commissie Binnenlandse Zaken van de Tweede Kamer der Staten-Generaal

Betreft: brandbrief van nationale hackergemeenschap inzake ICT-beveiliging overheid

Den Haag, 15 september 2011

Zeer geachte leden van de vaste Tweede Kamercommissie BiZa,

De Nederlandse hackergemeenschap, vertegenwoordigd door de ondergetekende
organisaties, maakt zich zorgen over de beveiliging van ICT-systemen van de
Nederlandse overheid. Keer op keer zien wij hoe basale beveiligingsprincipes
niet worden toegepast binnen bestaande en nieuwe ICT-systemen.

Recente voorbeelden zijn de kwestie rond Diginotar en de SSL-certificaten, de
OV-chipkaart, het elektronisch patiëntendossier (EPD) en nog vele andere
systemen en omgevingen. Wij hebben een omvangrijke lijst van voorbeelden van
overheidssystemen die persoonsgegevens bevatten of persoonsgegevens vragen aan
burgers waar de beveiliging niet op orde is.

Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding
kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden.
Het gaat om elementaire beveiligingsprincipes die structureel niet worden
toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip
van de risico's. Audits en certificeringen zijn papieren tijgers. Er wordt
onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen
van bijvoorbeeld de ontwikkelaars.

Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven ingehuurd
door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van
databanken met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet
nagedacht over mogelijk misbruik van nieuwe systemen. Tegelijk worden aan de
overheid gelieerde instanties zoals het College Bescherming Persoonsgegevens
(CBP) en GOVCERT in onvoldoende mate betrokken bij ICT-trajecten.

De hackergemeenschap voelt zich geroepen deze zaken aan de kaak te stellen.
Echter, er heerst op dit moment een klimaat waarin de boodschapper wordt
gestraft en de betreffende departementen en bedrijven niet tot verantwoording
worden geroepen. Wij zijn daarom terughoudend in het delen van informatie over
deze beveiligingslekken.

Wij maken ons zorgen over het feit dat de beveiligingslekken dermate elementair
zijn, dat het vrijwel zeker is dat mensen met kwade bedoelingen zich hiervan
bewust zijn en deze fouten kunnen uitbuiten. Zoals de recente kwestie met de
Iraanse overheid heeft laten zien.  Wij roepen derhalve op om de kwestie
Diginotar niet als incident te zien, maar als een symptoom van een gebrek aan
controle op de veiligheid van ICT-systemen bij de overheid. Het is tijd dat de
leden van de Tweede Kamer, zij die het volk vertegenwoordigen en geacht worden
het volk te behoeden voor dit soort vergissingen, zich realiseren dat er sprake
is van een structureel probleem.

De Nederlandse hackergemeenschap beschikt over de kennis en kunde met
betrekking tot bovengenoemde zaken, en deelt deze graag met de
volksvertegenwoordigers.

Hoogachtend,

Koen Martens
Namens de verenigde Nederlandse hackerspaces en organisaties:

Stichting Hack42 te Arnhem
Stichting ACKspace te Heerlen
Stichting TkkrLab te Enschede
Stichting Bitlair te Amersfoort
Stichting Revelation Space te 's-Gravenhage
Stichting Randomdata te Utrecht
Stichting Frack te Leeuwarden
Stichting Sk1llz te Almere

Stichting eth0
2600nl.net
Stichting HXX