Column

De hackersparadox

Wel of niet een tentje op de camping, dat is de vraag die de Nederlandse hackersgemeenschap nu bezighoudt. De hackers gaan dit jaar weer op zomerkamp, naar OHM bij Koedijk, en nu wil de politie ook komen kamperen.

Prima, zeggen de pragmatische Hollanders, anders lopen ze undercover rond. Geen sprake van, zeggen argwanende Amerikaanse en Duitse bezoekers, straks worden we gearresteerd en uitgeleverd, en wat is überhaupt het voordeel?

De politie en de hackers. Ze kunnen niet mét, maar steeds minder zonder elkaar. Zeker nu minister Opstelten terughacken wil toestaan bij bankaanvallen en creditcardlekken. Want wie moet dat gaan doen? Hackers, natuurlijk, en die zijn schaars. We vissen allemaal in dezelfde vijver, zeggen ze bij het Nationaal Cyber Security Centrum „en die vijver is vrij klein.”

Nu hebben de goeie hackers – degenen die best lekken en zwakke plekken willen melden – helemaal niet zo’n hekel aan de politie. Afgelopen zaterdag gingen ze samen paintballen onder de naam Operation Cyberpaint. Honderd man beveiligingsexperts, Anonymous-leden, NCSC, team high tech crime van de politie en het clubje women in cybersecurity (die tweede werden) voor een schietpartijtje en ‘dialoog’.

Dat het NCSC en de politie ‘dialoog’ willen met hackers is wel te begrijpen. Ze willen weten wat er leeft onder de mensen die óf bestreden óf ingehuurd moeten worden. Maar wat is het voordeel voor de hackers?

Die willen praten over iets wat hen dwars zit, zegt beveiligingsexpert en hacker Wilco Baan Hofman, die het paintballen organiseerde. Dat is de nieuwe, verstrekkende richtlijn voor responsible disclosure. Die schrijft voor dat hackers keurig lekken bij bedrijven of organisaties moeten melden. In ruil daarvoor worden ze niet vervolgd.

Klinkt redelijk. Maar wie de richtlijn leest, ziet al snel dat onder het kopje Organisatie het woordje ‘kan’ vaak voorkomt, en onder het kopje Melder het woordje ‘zal’. De organisatie kan een beloning geven, kan een termijn afspreken. De melder zal zo snel mogelijk melden, zal geen gegevens kopiëren. De richtlijn is scheef, zegt Baan Hofman. „Het bedrijf wordt niet bestraft als het nalatig is met persoonsgegevens, maar mag nog steeds aangifte tegen de hacker doen.”

Anoniem lekken via journalisten is nog steeds de veiligste optie voor hackers. Maar dat willen ze niet. Ze willen de wereld redden én daar de credits voor krijgen. „Een goeie hack is je visitekaartje.” Dus moeten ze het gezellig houden met de politie. Desnoods op de camping.