De Leidraad Responsible Disclosure werd in 2013 in het leven geroepen door het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Veiligheid en Justitie. Het document bevat een reeks adviezen en spelregels waar ethische hackers zich aan moeten houden. In de leidraad staat onder meer dat het aanpassen van systemen verboden is. Dat geldt ook voor het gebruik van social engineering en het kopiëren van gegevens en systemen. Ethische hackers die zich aan de spelregels houden zouden het justitiële zwaard van Damocles minder hoeven te vrezen.

Bij de introductie van de leidraad riep de toenmalige Justitieminister Ivo Opstelten organisaties op geen aangifte te doen tegen ethische hackers. De keuze om wel of niet tot vervolging over te gaan, blijft echter aan justitie. Een voorstel van de PvdA om hackers met goede bedoelingen via de wet beter te beschermen tegen vervolging, werd door Opstelten van de hand gewezen.

Niet gemeld vanwege dreiging

IT-expert en onderzoeksjournalist Brenno de Winter is één van de mensen die in het verleden de hete adem van justitie in zijn nek voelde. In 2011 dreigde hij vervolgd te worden voor het hacken van de OV-chipkaart. De journalist hing een celstraf van maximaal zes jaar boven het hoofd. Omdat uit onderzoek duidelijk bleek dat De Winter het maatschappelijk belang voorop stelde in zijn onderzoek en handelde vanuit een journalistiek oogmerk, besloot justitie van vervolging af te zien.

"De dreiging van dat strafproces heeft een enorme impact op mijn leven gehad", zegt De Winter. "Ook kreeg ik te maken met hoge advocatenkosten. Het feit dat ik een strafproces aan mijn broek dreigde te krijgen, heeft andere hackers er ook van weerhouden misstanden te melden. Ik weet dat er meerdere zaken spelen die niet gemeld worden, simpelweg omdat het te riskant is." De onderzoeksjournalist is bezig met het schrijven van een boek over informatiebeveiliging en ethisch hacken. Met de publicatie wil hij de discussie over het onderwerp verder aanwakkeren. Het boek, dat nog geen titel heeft, wordt in november uitgebracht.

Leidraad te vrijblijvend

De Winter vindt de Leidraad Responsible Disclosure veel te vrijblijvend. "De garanties die het biedt zijn zeer beperkt. Justitie behoudt zich het recht voor om tot vervolging over te gaan. De leidraad gaat bovendien voorbij aan het feit dat er sprake is van een misstand. Als persoonsgegevens niet goed worden beveiligd, lopen burgers risico's. Als je dat wilt aantonen, dan is dat een legitiem doel. Je moet dingen natuurlijk wel goed documenteren en aangeven waarom je iets doet." De leidraad bevat volgens de onderzoeksjournalist bovendien een paar 'erg onredelijke' punten. "Het niet mogen doen van herhaald onderzoek en bruteforcen bijvoorbeeld. Het is algemeen bekend dat als je een lijst van vijftig hele slechte wachtwoorden tegen systemen aanhoudt, je vaak makkelijk binnenkomt. Dat is strikt genomen al bruteforcen. Ethische hackers lopen dus risico's."

Ook Walter van Holst, juridisch adviseur bij IT-adviesbureau Mitopics, vindt dat de leidraad ethische hackers weinig garanties biedt. "Het OM zegt telkens 'als een hacker zich houdt aan het responsible disclosure-beleid van het getroffen bedrijf, dan onthouden wij ons in beginsel van vervolging', maar behoudt zich wel nadrukkelijk het recht voor om later alsnog tot vervolging over te gaan. Het zou beter zijn als het OM met duidelijke vervolgingsrichtlijnen voor zou komen", zegt Van Holst. Desondanks vindt de juridisch adviseur dat de leidraad 'een voorzichtig succes' genoemd kan worden. Ook bedrijven met een responsible disclosure-beleid zijn volgens Van Holst wel blij met lekken die gemeld worden.

Mogelijkheden onbenut gelaten

De juridisch adviseur ziet een oplossing in betere wetgeving. Volgens Van Holst wordt momenteel te weinig onderscheid gemaakt tussen blackhats en hackers met goede intenties. "Nederland heeft de ruimte die de Cybercrime Conventie voor dat onderscheid biedt onbenut gelaten. In plaats daarvan is gekozen voor een relatief botte implementatie van internationale verplichtingen op dit terrein met criteria waar te makkelijk aan wordt voldaan."

De persoon die in 2012 de kersttoespraak van toenmalig koningin Beatrix boven water haalde door simpelweg een jaartal in de URL op te hogen, zou volgens Van Holst bijvoorbeeld al vervolgd kunnen worden, omdat dit handelen volgens de letter van de wet al als een technische ingreep wordt gekwalificeerd.

Boeing 737 gehackt

In sommige gevallen is het echter evident dat justitie het handelen van hackers kritisch onder de loep neemt. De Amerikaanse veiligheidsexpert Chris Roberts, die in april voor korte tijd de besturing van een Boeing 737 boven het Amerikaanse luchtruim zou hebben overgenomen, is daarmee volgens Van Holst duidelijk te ver gegaan. Klokkenluider Edward Snowden, die in 2013 geheime documenten van de Amerikaanse veiligheidsdienst NSA openbaar maakte, verdient daarentegen betere bescherming, vindt de juridisch adviseur. "Snowden heeft juist ongelofelijk zijn best gedaan om ervoor te zorgen dat de gegevens die hij gelekt heeft niet in verkeerde handen zouden vallen." Voor de beschuldiging dat de klokkenluider levens in gevaar bracht door de identiteit van mensen bekend te maken, is nooit bewijs geleverd, zegt Van Holst.

Blijft justitie hardnekkig op ethische hackers jagen, dan dreigt het gevaar dat ze in het criminele circuit terechtkomen, waarschuwt zowel Van Holst als onderzoeksjournalist De Winter. "Ik voel er veel meer voor om ethische hackers met open armen te ontvangen dan ze definitief op een zijspoor te zetten", zegt de onderzoeksjournalist.