Allerlei nieuwsberichten en roddels doen momenteel de ronde rondom een serieus beveiligingsincident bij het Groene Hart ziekenhuis. Dit ziekenhuis had gegevens van om en nabij ene half miljoen patienten op een onveilige plek opgeslagen. Dit kwam aan het licht nadat een hacker dit had ontdekt en het via een journalist wereldkundig maakte.

Opgepakt

Het ziekenhuis heeft, op aanraden van het NCSC en beveiligingsbedrijf Fox-IT aangifte gedaan en naar aanleiding hiervan is een arrestatie verricht. Of de gearresteerde persoon dezelfde is als degene die het lek wereldkundig maakte, is nog niet bekend.

Als dit wel zo blijkt te zijn, ontstaat er een vervelende situatie. In eerste instantie zou ik geneigd zijn te denken dat wanneer iemand een lek als dit vindt, en dit (na op de hoogte stellen van het ziekenhuis en het NCSC) wereldkundig maakt, dat deze persoon te goeder trouw handelt en geen misbruik van de gegevens heeft willen maken. Kortom, dat we hier met een ethisch hacker te maken hebben.

Wie is hier nu de dader?

Het oppakken van iemand die te goeder trouw een ernstig lek meldt, is de omgekeerde wereld. Een ziekenhuis, dat bij uitstek zorgvuldig om zou moeten gaan met medische gegevens van patienten, dat op totaal onverantwoordelijke wijze prive-gegevens van patienten verwerkt zou flink moeten worden aangepakt.

De hacker die het beveiligingslek vond is nu de gebeten hond: opgepakt en waarschijnlijk een strafblad aan zijn broek. Immers: computervredebreuk is verboden. Of je nu met criminele motieven inbreekt of dat je een lek netjes meldt zonder er misbruik van te maken.

Het bedrijfsleven lost het wel op…

Een tijd terug pleitte ik al voor een platform waar ‘ethische hackers’ een melding kunnen doen van een gevonden lek. Een platform dat onafhankelijk is van overheden of bedrijven,

Destijds was een veelgehoorde reactie van politici dat er bedrijven in Nederland zijn die prima dit soort zaken kunnen aanpakken. Zo’n platform zou dus overbodig zijn, en ethische hackers beschermen zou nergens voor nodig zijn. Want het zijn gewoon criminelen, aldus de politici.

Deze zaak maakt pijnlijk duidelijk waarom dat wel belangrijk is. Het ziekenhuis had een van deze bedrijven (Fox-IT) in de hand genomen om de beveilging op orde te krijgen. Nu is mij niet bekend wat de exacte opdracht van het ziekenuis aan Fox-IT is geweest, maar vast staat dat als je iemand inhuurt je geen ‘silver bullet’ in huis haalt.

Zo was er maanden geleden een incident bij de gemeente Amsterdam, op een site waar burgers digitaal een paspoort konden aanvragen en dergelijke. Daarvoor was al een ander incident in dezelfde infrastructuur aan het licht gekomen. De gemeente had een beveiligingsbedrijf in de arm genomen om het lek te dichten en na te gaan of dat specifieke lek was misbruikt. De conclusie was dat dat niet het geval was, en de gemeente jubelde ‘alles is weer veilig’.

Een kapitale vergissing natuurlijk, want de zeer beperkte opdracht die de gemeente aan het beveiligingsbedrijf gaf rechtvaardigde de conclusie in het geheel niet. En dus was er snel weer een ander lek gevonden. Totdat de gemeente het hele systeem onder de loep neemt (of daar opdracht toe geeft) is er niets te zeggen over de totale veiligheid van het systeem.

Autonome hackers

En daarom is het zo belangrijk dat autonome hackers, die in hun vrije tijd lekken ontdekken, hier zorgvuldig mee omgaan en veilige ICT als doel hebben niet als misdadigers worden behandelt. Want dat schrikt af, en een ethisch hacker zal zich wel twee keer bedenken alvorens een ontdekt lek te melden bij de lekkende organisatie of een overheidsinstelling als het NCSC. En dat betekent dat lekke systemen lek blijven, en dat de kwaadaardige hacker (die uiteraard nergens melding van maakt) onopgemerkt zijn gang kan gaan en (zoals in dit geval) fijn misbruik kan maken van onze medische gegevens.

Gelukkig is er inmiddels een initiatief (dat in de kinderschoenen staat, dat moet gezegd worden) waar hackers anoniem terecht kunnen om melding te maken van gevonden lekken. Bij het hackmeldpunt kunnen dit soort incidenten gemeld worden. Dit initiatief is opgezet door een aantal leden van hackerspace RevSpace in Den Haag en heeft al bijgedragen aan het voorkomen van incidenten waar privacy-gevoelige gegevens op straat lagen. Zonder media-circus, zonder arrestaties. Schoon en doelmatig.

Lastige definitie

Tot slot zou ik nog kort (te kort) in willen gaan op het begrip ‘ethisch hacker’. Want aan de extreme kanten kunnen we ons er wel iets bij voorstellen: iemand die een lek vindt, er niets mee doet en het netjes meldt is ethisch bezig. Iemand die een lek vindt, alle gegevens download, en deze verkoopt aan de oost-Europese mafia is niet ethisch bezig.

Maar iemand die een lek vindt, perongeluk de server laat crashen door een inefficiente download-opdracht uit te voeren om 20GB aan bestanden te verkrijgen, is die ethisch bezig? Had die hacker niet kunnen volstaan met 1 of 2 voorbeelden om zijn bevinding kracht bij te zetten (want helaas worden serieuze meldingen ook vaak weggewimpeld)?

Wat het nog extra ingewikkeld maakt, is dat er naast een hoop lieve mensen in de hacker-gemeenschap ook af en toe een blaaskaak rondloopt, met een te klein ego. Met een motivatie om het eigen ego op te blazen door stoer te doen over wat je allemaal wel niet voor nare dingen op andermans servers kunt uithalen (en ook de daad bij het woord te voegen) bij je in mijn ogen ook niet ethisch bezig.

Om af te sluiten, als blijkt dat de gearresteerde persoon wel degelijk fout bezig is geweest dan lijkt mij arrestatie en bestraffing terecht. We zullen moeten afwachten hoe of wat, want zolang het onderzoek loopt zijn we aangewezen op flarden ‘feiten’ (al dan niet gekleurd door ontbrekende context of ‘journalistieke creativiteit’) en kunnen we dus eigenlijk niets zinnigs zeggen.

Disclaimer

Overigens ben ik zelf niet bij het meldpunt betrokken, mochten de wat meer paranoide lezers onder u denken dat ik als r&d developer bij Fox-IT stiekem meldingen doorspeel. En, deze blog verwoord mijn persoonlijke inzichten en standpunten, niet die van RevSpace, Fox-IT, OHM2013/IFCAT of enige andere organisatie waar ik in welke hoedanigheid dan ook bij ben betrokken.

This entry was posted on Friday, November 30th, 2012 at 15:15 and is filed under Dutch, Nationaal. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.