Soms perkt een rechter de academische vrijheid in

Twee informatici uit Nijmegen mogen van de Britse rechter hun onderzoek niet publiceren. Hoe is dat mogelijk?

Twee informatici van de Radboud Universiteit in Nijmegen moeten van Volkswagen hun mond houden. Over dik twee weken zouden ze op een wetenschappelijke conferentie in Washington vertellen hoe ze de chip kraakten van de startonderbreker uit auto’s van Volkswagen. Het onderzoek deden ze samen met een collega van de University of Birmingham. Volkswagen spande daarop een kort geding aan bij een Britse rechter, die op 25 juni uitspraak deed. Pas dit weekend trok dat de aandacht van The Guardian.

1Wat bepaalde de rechter?Daar willen de University of Birmingham, de Radboud Universiteit en Volkswagen nauwelijks iets over kwijt. In ieder geval heeft de rechter de onderzoekers verboden om hun gegevens te presenteren op de Usenix-conferentie over computerveiligheid. Verder willen de universiteiten geen commentaar geven, omdat Volkswagen ook een bodemprocedure, een gewone rechtszaak, heeft aangespannen. Die loopt nog. Ook Volkswagen reageerde niet op een verzoek om informatie.

Volgens The Guardian oordeelde de rechter dat publicatie van de code van de startonderbreker „autodiefstal zou vergemakkelijken”. De gekraakte Megamos-chip stamt uit de jaren negentig, maar wordt volgens de Radboud Universiteit nog veel gebruikt in de auto-industrie.

2Mag de academische vrijheid wel worden beperkt?Soms. Academische vrijheid is een vorm van vrijheid van meningsuiting, en dus een grondrecht. In de Europese Verdrag van de Rechten van de Mens staat dat die vrijheid alleen mag worden beperkt als dat van te voren precies in een wet is vastgelegd en de beperkingen ook „noodzakelijk zijn in een democratische samenleving”. Bij de eis van Volkswagen om publicatie te verbieden, heeft de rechter zich de vraag gesteld of daar een voldoende dringende maatschappelijke noodzaak voor is. De Nijmeegse universiteit noemt het verbod in een schriftelijke verklaring „onbegrijpelijk”. Tot de uitspraak in de bodemprocedure zullen de onderzoekers nergens over hun onderzoek publiceren.

3Beslissen Europese rechters altijd zo?Nee. In 2008 kwam een Nederlandse rechter tot een ander oordeel. Toen hackten (deels dezelfde) Nijmeegse informatici de MIFARE Classic chip waarmee de toenmalige ov-chipkaart en allerlei toegangspasjes werkten. De fabrikant was het Nederlandse bedrijf NXP.

NXP probeerde publicatie te voorkomen, maar de rechter in Arnhem vond de veiligheidsrisico’s wel aanvaardbaar. Wie de code van de chip in handen had, kon immers niet zo maar ergens inbreken. Daarvoor moet de crimineel nog meer informatie over de beveiliging in handen hebben.

4Wat moet een bedrijf doen tegen hackende informatici?Computerwetenschappers hacken regelmatig veiligheidssystemen van bedrijven en andere instellingen, bij wijze van onderzoek. Gebruikelijk is dat ze dan eerst het bedrijf inlichten, voordat ze publiceren. Het bedrijf kan dan maatregelen nemen.

Volgens de Radboud Universiteit hebben de onderzoekers al in november 2012 de fabrikant van de Megamos-chip ingelicht. Volkswagen vond dat niet voldoende, schrijft The Guardian. De autofabrikant vroeg de informatici om de codes uit het wetenschappelijk artikel te halen. Dat weigerden ze. Zij vinden, schrijft de Britse krant, dat ze „verantwoordelijke, eerlijke academici zijn die verantwoordelijk, eerlijk wetenschappelijk werk” doen.

5Wat gebeurt er als informatici hun hacks toch publiceren?Het kan niet altijd kwaad. De hack van de ov-chipkaart leidde tot verbeteringen. En ook een jaar geleden ging het goed. Toen kraakten de Nijmeegse wetenschappers een startonderbrekerchip van NXP. Een woordvoerder van NXP vertelt dat er „goede afspraken” met de Radboud Universiteit zijn gemaakt. Vier maanden voordat de wetenschappers hun artikel publiceerden, stuurden ze de tekst naar NXP. „Wij hebben toen onze klanten kunnen informeren over alternatieve producten”, zegt hij. Er is geen informatie uit de publicatie geschrapt. „Daar gaan wij ons niet mee bemoeien, dat is de vrijheid van de onderzoekers.”