Dat is de conclusie na een debat over responsible disclosure tijdens de eerste dag van het jaarlijkse conferentie van het Nationaal Cyber Security Center (NCSC) in het World Forum in Den Haag. Niet zozeer de vier panelleden op het podium alswel het meepratende publiek liet de verwarring goed blijken. De vragen uit het publiek konden niet of nauwelijks voldoende beargumenteerd worden beantwoord, omdat de uiteindelijke werking van de Leidraad nog onzeker is.

Het meeste verregaande was een opmerking van een bezoeker die namens een bedrijf de conferentie bijwoonde. De securitymanager nam de stelling in dat onaangekondigd hacken altijd “crimineel moest blijven", dat hackers zich eerst moeten melden bij een bedrijf met het voornemen dat hij of zij de security van het bedrijf gaat testen en dat de betreffende hacker het liefst een brevet van kundig ethisch hacken moet laten zien. “En als een bedrijf zegt dat het niet wil worden gehackt, moet het dan ook niet zijn toegestaan om dat toch te doen", zei hij verder.

Wat zijn de bedoelingen van de hacker?

Daar werd overigens nauwelijks op gereageerd, maar het tekende wel de onmacht die een deel van het bedrijfsleven voelt. Panellid Bas de Vogel van Hoffmann Investigations verwoordde die onmacht iets anders en wees op een potentieel gevaar van de voorgestelde richtlijn. “Het is op zich goed dat er een richtlijn is, maar het gevaar bestaat dat iedereen nu denkt dat zij ongestraft bij bedrijven kunnen inbreken. Ook een naar wat het lijkt ethische hacker kan bij nader inzien een andere bedoeling hebben."

De Vogel sloeg daarmee wel de spijker op de kop, zo bleek uit instemmende reacties van onder meer panellid en programmeur Floor Terra en enkele leden vanuit de hackercommunity die in het publiek zaten. “Maar het gaat uiteindelijk om de intentie", probeerde panellid Wil van Gemert, hoofd cyber van het NCTV, nog. De Vogel: “Van alle acties die een hacker doet bij zijn werk, komt 90 procent met elkaar overeen en is op zich als potentieel 'goed' of 'ethisch' te beoordelen. Het is moeilijk te zien wie wat doet in je netwerk en of dat met goede of kwade bedoelingen gebeurt."

Slechte bedoelingen moeilijk te bewijzen

Volgens De Vogel kan het zelfs zo zijn dat een hacker met slechte bedoelingen die gepakt wordt, zijn acties goedpraat als zijnde 'ethisch'. “Zolang er niet duidelijk is dat er werkelijke slechte bedoelingen of criminele activiteiten achter zitten, is het dan moeilijk te bewijzen dat iemand werkelijk wat anders van plan was dan alleen lekken aan te tonen."

Het verbod om bij het ethisch hacken data te downloaden, zou daarin in ieder geval moeten helpen, maar daar wordt eveneens volkomen verschillend over gedacht. Panellid Robin Schuil, die mede het beleid van Marktplaats heeft vormgegeven wat betreft responsible disclosure, vindt dat ethische hackers hooguit met de eigen data aan de slag mogen gaan. Het downloaden of anderszins raken aan data van anderen is niet gepast, vindt hij, wat ondersteund wordt door Van Gemert.

Data wel of niet downloaden?

“Maar als ik niet wat laat zien aan gelekte data, nemen bedrijven mijn melding niet serieus", reageert een hacker uit het publiek. “Ze vragen altijd bewijs." Maar bedrijven zouden meldingen ook serieus moeten nemen zonder dat harde bewijs, zegt Van Gemert. “Je kan als het ware ook een beeld van de directory maken", zegt hij. “Net als je in de fysieke wereld een foto van een openstaande deur kan maken, zodat je bewijs hebt zonder het huis binnen te gaan."

Maar beveiligingsexpert Oscar Koeroo, eveneens in het publiek, zette daar zijn vraagtekens bij. “Wat is genoeg bewijs? Je moet in mijn ogen data verplaatsen om het probleem van het lek te kunnen laten zien. En dan kan je al snel tot de vraag: hoeveel gedownloade data is nog ethical?" Volgens Terra moet een ethical hacker in ieder geval zo min mogelijk doen en zo min mogelijk downloaden. “Maar er is inderdaad geen duidelijke lijn."