Enschede gaat ethisch hacken toestaan

Begin augustus 2015 las ik over ethisch hacken. Dat betekent dat iemand inbreekt in een computersysteem, maar niet om dan informatie te stelen of schade toe te brengen. Nee, de ethische hacker meldt het ontdekte beveiligingsprobleem aan de eigenaar van het systeem. Zodat die eigenaar, bijvoorbeeld de gemeente, het beveiligingslek kan dichten. 

 

Enschede kent nog geen regeling voor ethische hackers, dus heb ik meteen aan het college van burgemeester en wethouders voorgesteld ethisch hacken mogelijk te maken. Een paar weken lees ik dat het college mijn voorstel graag overneemt! Binnenkort zal op de website van de gemeente Enschede een zogenaamde leidraad Responsible Disclosure te zien zijn. Dan weet iedereen wat de spelregels zijn om veilig te kunnen hacken, zodat de gemeente Enschede digitaal veiliger kan worden. 

Veel tips en ideeën gekregen

Kop op website NPOMedia zoals Radio 1 en BNR Nieuwsradio gaven aandacht aan het ethisch hacken en zodoende kreeg ik nogal wat reactie van mensen. Dat is erg leuk, want zo heb ik een heleboel tips en ideeën kunnen opdoen! 

Op een avond ben ik bij het TkkrLab wezen praten over ethisch hacken. Een belangrijke zorg van een aantal potentiële ethisch hackers is dat ethisch hacken nog altijd strafbaar is. Hoeveel goede bedoelingen je ook hebt en hoezeer je je aan spelregels van een organisatie hebt gehouden, het Openbaar Ministerie kan nog altijd besluiten je te vervolgen. Dat is vervelend. Ik heb dit dan ook meegegeven aan de D66-Tweede-Kamerfractie. 

Van een Twitteraar hoorde ik dat bij een bepaalde organisatie wel een regeling Responsible Disclosure is gepubliceerd, maar de afhandeling van een melding niet soepel verloopt. En dat is natuurlijk erg jammer. Je moet als organisatie écht in staat zijn om een melding tijdig en netjes te behandelen. En je wil ook goed kunnen communiceren met de melder, en daar is meer dan alleen een technische achtergrond voor nodig. Sociale vaardigheden zijn ontzettend belangrijk, een gemeend "dankjewel" kan zoveel goed doen bij een vrijwillige hacker. 

Een ethische hacker heb ik gevraagd hoeveel tijd het hem nu kost om een lek te ontdekken. “Ik maak er een sport van om bij een organisatie binnen een half uur binnen te zijn,” was het antwoord. Okee, dat drukte me nog eens met de neus op de feiten: als je de beveiliging niet goed genoeg voor elkaar hebt, kan iemand binnen een half uur binnen zijn… 

De toekomst: regeling en Hackathon

Het college gaat het ethisch hacken van de gemeente Enschede nu dus mogelijk maken. Uit de antwoorden op mijn vragen blijkt echter ook dat het college niet meteen alle extra ideeën, zoals een jaarlijkse ethischehackersprijs, gaat uitvoeren. Wat mij betreft is dat geen halszaak, laten we nu eerst beginnen om Reponsible Disclosure helemaal goed voor elkaar te hebben. Het college wil ook met allerlei belangstellenden zoals studenten, wetenschappers en TkkrLab kijken hoe we een hackathon kunnen organiseren. Ik ben ervan overtuigd dat daar veel moois uit gaat voortkomen! Ik volg het op de voet en zal ook vragen om een jaarlijkse korte rapportage aan de gemeenteraad over de aantallen meldingen en opgeloste beveiligingsproblemen. 

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.

Wanneer u dit formulier verzendt verschijnt uw reactie na goedkeuring openbaar onderaan deze blog. U bepaalt zelf of u uw naam en het onderwerp van uw reactie invult. De reactie en uw eventuele naam en het onderwerp worden opgeslagen in de database van de website, zodat de website de reacties (na goedkeuring) kan tonen. Zie voor meer informatie de privacyverklaring