Laat hackers toegang houden tot openbaarheid

Net als Google en Facebook heeft nu ook de Staat der Nederlanden een regeling voor hackers die een computerlek komen melden. Donderdag stuurde minister Opstelten (Justitie, VVD) een leidraad voor ‘verantwoord onthullen’ naar de Tweede Kamer. Die omvat een protocol dat hackers met bedrijven en instellingen moet leren samenwerken, respectievelijk hen beschermt tegen strafvervolging of exploitatie van het lek voor eigen doelen.

De leidraad laat de principiële strafbaarheid van computervredebreuk terecht ongemoeid. Dit gaat om verantwoord klokkenluiden: bij officiële meldpunten, met wachtperiodes van zestig dagen tot zes maanden, met voorwaarden voor openbaarmaking, beloning of toekennen van ‘credits’. En – heel belangrijk – de bindende belofte geen juridische stappen te zetten tegen hackers die zich aan de regels houden. Uit de eerste reacties van hackers en bedrijven blijkt dat dit gevoelig ligt. De kat en de muis hebben elkaar nog niet omarmd.

De overheid stelt zich op als bemiddelaar met de IT-gemeenschap en als spelbewaker. De hoop is met deze vrijwillige spelregels avonturiers de pas af te snijden: hackers met een dubbele agenda. Dat zijn degenen die om economische of ideologische redenen kwetsbare IT-systemen binnendringen – en die mogelijkheid voor zichzelf willen behouden. Deze actievorm wordt ook wel ‘social engineering’ genoemd – laten zien dat bevolkingsadministraties, ov-systemen of ziekenhuiscomputers lek zijn door ze lek te houden. Uitgangspunt van de leidraad is juist de ethische hacker: iemand die altijd evenredig handelt, de belangen van systeemeigenaar en publiek even zwaar weegt, geen of hooguit symbolische wijzigingen in het IT-systeem aanbrengt, het lek in beginsel geheim houdt voor anderen totdat de eigenaar het probleem kan oplossen.

Het springende punt in deze regeling is uiteraard de openbaarheid. Het publiceren van het lek, meestal via een journalistiek medium dat bronbescherming kan bieden, is nu het belangrijkste wapen van de hacker. En vaak ook het (enige) doel. De voorgestelde regeling opent intussen de mogelijkheid het lek permanent geheim te houden „bij een niet of moeilijk op te lossen kwetsbaarheid of bij hoge kosten”. De ethische hacker kan dus met lege handen komen te staan, als het bedrijf reparatie te duur of te moeilijk vindt. En dan komt de burger ook niks te weten.

Moeilijk oplosbare of dure lekken mogen geheim blijven – en mag dan verwacht worden dat media die verzwijgen? Vast niet in alle gevallen. Dit op zichzelf positieve initiatief is dus bepaald niet volmaakt. De hacker hoort toegang tot de openbaarheid te houden.