Havenbedrijf Rotterdam roept ethische hackers op 'zwakke plekken' in hun systemen op een verantwoorde manier te melden. Zij mogen desgewenst 'expliciet hun best om een zwakheid te vinden', maar toch is het geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om zwakke plekken te ontdekken.

Huiverig voor ethische hackers

Een woordvoerder van het Havenbedrijf vertelt dat het expliciete responsible disclosure beleid recentelijk is ingevoerd, op instigatie van het ministerie van Justitie en het NCSC. Er zijn inmiddels drie meldingen binnengekomen, die hadden betrekking op de website van het havenbedrijf, niet op interne systemen zoals de verkeersleiding.

Webwereld heeft responsible disclosure eind 2011 op de kaart gezet met de geruchtmakende Lektober-actie. Daarbij hebben hackers gevonden gaten gemeld bij de redactie die vervolgens de lekkende bedrijven en instanties heeft gewaarschuwd. Elke dag is een vers lek onthuld, soms zonder namen te noemen want niet alle getroffen organisaties waren bereid tot dichten. Zij waren zich niet goed bewust van de security- en privacy-implicaties. Ná Lektober is echter niet op alle fronten vooruitgang geboekt: veel websites, databases, webwinkels en keurmerken hebben nog altijd lekken. Ook nu nog.

Veel organisaties zijn huiverig om een responsible disclosure beleid in te voeren, en willen nog wel eens boos en juridisch agressief worden als er een gat of zwakheid wordt gemeld.

Over de rechten en plichten van ethisch hackers aan de ene kant en bedrijven aan de andere is lang gesteggeld. De oproep van Rotterdam is gebaseerd op de standaardtekst die is opgesteld door Floor Terra, die al langer pleit voor een transparant hackersbeleid bij bedrijven en overheden.

Het bevat een aantal belangrijke beperkingen. Aanvallen via fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden zijn uitgesloten van de voorwaarden. Als een hacker zich netjes aan de regels houdt belooft de Rotterdamse haven geen juridische stappen te nemen.

Containeroverslag gehackt

Vorig jaar november kwamen de grote Nederlandse telecombedrijven tot een gezamenlijke gedragscode voor ethisch hacks.

Vorig jaar bleek dat havensystemen een aantrekkelijk doelwit vormden voor criminelen om containerverkeer te manipuleren. Het gaat dan niet direct om systemen van het havenbedrijf zelf, maar de commerciële haventerminals, die het laden en lossen regelen.