KPN, T-Mobile, Tele2, UPC, Vodafone en Ziggo geven het goede voorbeeld door hackers in staat te stellen om gaten en kwetsbaarheden op een verantwoordelijke manier te melden. Het afgelopen jaar zijn bij die bedrijven ongeveer 380 meldingen binnengekomen van externe white hat hackers. Ondanks dat een groot deel vals alarm bleek, hebben 75 meldingen bijgedragen aan het oplossen van een of meerdere gaten in de systemen van de telco’s, meldt branchevereniging Nederland ICT.

Gedragscode voor hele branche

De organisatie roept andere telecom- en techbedrijven op om ook een duidelijk beleid op te stellen voor responsible disclosure. Nederland ICT heeft daartoe een uniforme gedragscode opgesteld. De zes grote providers hebben deze code onlangs al ondertekend.

Responsible disclosure is het op een verantwoorde wijze melden van lekken en gaten. Daarbij krijgt de provider de kans om de kwetsbaarheid op te lossen, en zal die geen aangifte doen van cybercriminaliteit, is de belofte.

Webwereld heeft responsible disclosure eind 2011 op de kaart gezet met de geruchtmakende Lektober-actie. Daarbij hebben hackers gevonden gaten gemeld bij de redactie die vervolgens de lekkende bedrijven en instanties heeft gewaarschuwd. Elke dag is een vers lek onthuld, soms zonder namen te noemen want niet alle getroffen organisaties waren bereid tot dichten. Zij waren zich niet goed bewust van de security- en privacy-implicaties. Ná Lektober is echter niet op alle fronten vooruitgang geboekt: veel websites, databases, webwinkels en keurmerken hebben nog altijd lekken. Ook nu nog.

Er was eerder ook kritiek op de responsible disclosure leidraad van de overheid. Dat waren namelijk vooral regeltjes en plichten voor de hackers, waar alleen soms vage beloften van bedrijven tegenover staan. Bovendien kan het Openbaar Ministerie bijvoorbeeld zelfstandig beslissen ethische hackers alsnog te vervolgen, zonder aangifte van iemand.

T-shirt als beloning

De premie die hackers krijgen voor hun melding van lekken is in Nederland in veel gevallen nog minimaal. Zo gaf KPN twee hackers elk een t-shirt. Grote techbedrijven als Google en Microsoft bieden fikse beloningen voor kwetsbaarheden.