“Er loopt veel ongebruikt talent rond in de hackersgemeenschap." zegt Yom Schutte, voorzitter van stichting ISPConnect, branchevereniging voor Internet Service Providers. “Maar de eindverantwoordelijkheid voor de veiligheid van een website ligt bij de maker."

Het bedrijfsleven zou hun voordeel moeten behalen met het inzetten van deze experts. Jeroen van Beek is ethisch hacker en docent Offensive Technologies aan de Universiteit van Amsterdam. “Er is vanuit het bedrijfsleven veel vraag naar handige jongens die security begrijpen. En die problemen ook op kunnen lossen", aldus van Beek. “Investeren in het testen van systemen voordat men 'live' gaat kan bedrijven veel geld en stress besparen doordat men op deze manier veel securiteitincidenten kan voorkomen."

Hack bij Diginotar

Het beveiligingsniveau van websites is een veelbesproken onderwerp de afgelopen maanden, zeker na de hack van Diginotar. Elger Jonker is woordvoerder van Hackerspaces.nl, een overkoepelende organisatie voor Nederlandse hackerspaces. “De lekken die wij vinden zijn kinderlijk eenvoudig.

Het is echt iets anders dan een botnet dat wordt ingezet door hackers voor praktisch gewin."

Ook Van Beek zegt dat het volwassenheidsniveau van beveiliging binnen het bedrijfsleven, waar hij als consultant actief is, varieert. Door middel van het Capability Maturity Model (CMM) kun je meten op welk niveau de softwareontwikkeling van een organisatie zit. “Slimme bedrijven laten hun software voor het in gebruik wordt genomen nog door een onafhankelijke derde partij testen. Zij scoren binnen de CMM een 4 of 5. Dit speelt natuurlijk vooral bij belangrijke informatiesystemen. Deze klanten integreren security testing - of ethical hacking zoals dat mooi heet - in het reguliere proces."

Hackers helpen in cyberwar

Er is wereldwijd een groeiende vraag naar de vaardigheden van hackers. De Amerikaanse National Security Agency meldde vorige maand dat het op zoek gaat naar hackers om te helpen met het werken aan de cyberwar. Het Nederlandse bedrijfsleven maakt volgens Jonker nog maar matig gebruik van de kennis en vaardigheden van hackers.

“Ik ken een aantal hackers die bij hosting- en andere bedrijven werken om de beveiliging te testen. Vooral de overheid moet meer hackers aannemen. Iemand die kan hacken snapt ook hoe je iets veilig kan maken. Ze moeten gebruik maken van die kennis", aldus Jonker. “Vaak wordt afgesproken wat de scope van de beveiligingstest is, om budgettaire redenen. Zelden wordt de hele website getest."

Risicovolle zaak

Het melden van een lek is nu voor een hacker een risicovolle zaak. Een risico dat steeds minder hackers bereid zijn te nemen aldus Hackerspaces. Het belang van de burger en consument komt daarmee in het gedrang. Maar kan een wettelijke klokkenluiderstatus, zoals eerder deze maand voorgesteld, daar iets aan veranderen? Elger Jonker ziet een begin in het verbeteren van de situatie van ethische hackers. “Het is een belangrijke stap omdat het de enige regeling is die bescherming geeft. Maar er zijn ook klokkenluiders die er slecht vanaf komen. Dit dekt de strafrechtelijke kant, wat niet wil zeggen dat je civiel rechtelijk onschendbaar bent."

Gevaar dreigt met deze regeling dat het onmogelijk blijkt de goede van de slechte hackers te onderscheiden. Wanneer is het geoorloofd een website te hacken en dit te melden? “Het heeft twee kanten. Het is goed dat hackers het kunnen melden als er iets mis is. Vooral als er maatschappelijk belang in het spel is. De realiteit, waarbij goedwillende hackers na melding als dank kunnen worden gestraft, is nu niet goed. Maar we moeten oppassen dat het geen vrijbrief wordt voor iedereen met een computer om te gaan rommelen in deze netwerken", aldus Jeroen van Beek.

Randvoorwaarden

“Randvoorwaarden zouden vastgesteld kunnen worden door een commissie met daarin vertegenwoordigers uit hackerland (bijvoorbeeld Hackerspaces) aan de ene kant en juristen met een cybercrime- specialisatie en functionarissen uit de cybersecurity-branch aan de andere kant", zegt Van Beek. "Dit om eenzijdige belangen, extremen en bijbehorende drama's, zoals kwaadwillenden die straffeloos systemen kunnen hacken, te voorkomen."

Bij Hackerspaces zijn ze overtuigd dat de sociale controle binnen de hackergemeenschap een groot deel van dit probleem kan oplossen. “Binnen de Hackerspaces kennen wij elkaar en kunnen zien wat bij iemand past. In het gros van de gevallen is het heel duidelijk als er in een keer een hele vreemde persoon opduikt. Bij onduidelijkheid over de aard van de hacker zou het dan aan een rechter zijn om te kijken hoe het zit."

Betere controle

Naast het inzetten van de hackergemeenschap om een betere controle te hebben op de beveiliging van websites zijn er volgens Jeroen van Beek nog andere goede initiatieven. Bijvoorbeeld de PCI Security Standards Counci. Dat is ingesteld door bedrijven die verantwoordelijk zijn voor online creditcardtransacties, waarbij deelnemende partijen niet alleen aan procedures moeten voldoen maar waarbij ook eisen gesteld worden aan de IT-infrastructuur.

Deze eisen worden periodiek getest door het uitvoeren

van zogenaamde penetratietesten. Een andere interessante ontwikkeling is het gebruik van beloningsprogramma's, zoals onder meer te zien bij het Zero Day Initiative en Google Chrome. Hier worden hackers die belangrijke problemen verantwoord melden beloond met soms fikse geldbedragen.