Juridische vraag: is het onthullen van een lek strafbaar?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Als ik bijvoorbeeld op een Nederlandse website een beveiligingslek of andere kwetsbaarheid heb gevonden, mag ik daar dan over publiceren? Of ben ik dan strafbaar bezig als ik mensen op de kwetsbaarheid wil wijzen?
Antwoord: Het publiceren over beveiligingsfouten en lekken is een juridisch lastige kwestie. Enerzijds moet dat kunnen, want we hebben vrijheid van meningsuiting en het is belangrijk om fouten aan de kaak te stellen. Anderzijds breng je data en mogelijk mensen in gevaar, omdat je publicatie kwaadwillenden kan helpen het lek te misbruiken.
Het is dus zaak om bij dergelijke publicaties zorgvuldig te zijn. Publiceer niet meer dan nodig, en probeer voorbeeldcode zo te maken dat wel het lek aangetoond wordt maar misbruik niet een kwestie is van een ander IP adres invullen.
Ook is het wel zo netjes om de betreffende bedrijven eerst in te lichten en ze een kan te geven het lek te dichten. Dit is dan ook een kernaspect van responsible disclosure: eerst het probleem oplossen en daarna erover publiceren.
Niet elk bedrijf zal de fout repareren. Sommige bedrijven stoppen fouten liever onder de pet of dreigen met rechtszaken. Dat laatste is gewoonlijk bluf (tenzij je schade hebt aangericht met je "ontdekking") maar dat men je negeert komt helaas wel regelmatig voor. Dat is waarom je bij responsible disclosure ook een deadline stelt als men niet reageert.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html
Heb er goede ervaringen mee. Aangesloten overheidspartijen bij het NCSC zijn via hun goed te benaderen en strand je niet meteen op een klantenhelpdesk die geen idee hebben wat je bedoelt.
De uitwerking is niet helemaal optimaal, maar geeft wel een goeie richting over hoe in het algemeen te handelen.
De uitwerking is niet helemaal optimaal, maar geeft wel een goeie richting over hoe in het algemeen te handelen.
Wij hebben een dergelijk beleid. Oorspronkelijk was het idee dat we een paar meldingen per jaar zouden krijgen, maar het aantal is toch hoger dan we verwacht hadden. Tot nu toe gelukkig geen grote problemen. Meestal wat "antieke" configuraties. Wel ook een geval van een onbekend default wachtwoord ingesteld door een leverancier.
Ik kan zeggen dat ons netwerk hier wel veiliger door is geworden.
Peter
Er zijn al personen die dat gewoon nooit meer doen en gelijk de publiciteit opzoeken om het even waar ze wat gevonden hebben. Ook bij partijen die zeer waarschijnlijk niet naar de rechter zullen stappen zoals open source projecten met een historie van zeer responsief met meldingen omgaan. Een beetje opletten met wie je te maken hebt is wellicht een goed idee.
Apropos dat laatste, vergelijk redmond die maar gelijk vol in de ex parte ging en daarmee als bedrijf feitelijk een ander bedrijf bestal van hulpbronnen noodzakelijk voor de dienstverlening. De rechter ging er in mee, maar moreel bevraaglijk is het wel.
Het punt hier is dat genoeg bedrijven naar litigatie gegrepen hebben dat het niet meer loont jezelf voor litigatie open te stellen. Want de kans is gewoon te groot dat ze het doen en als het gebeurt dan heb je gelijk zoveel ellende aan je broek dat de lol om ook toevallig gevonden gaten te melden je permanent vergaat. Gelukkig zijn de technische hulpmiddelen om je identiteit en daarmee je aanklaagbaarheid af te schermen nog niet verboden.
Aan de andere kant is het best een gerechte vraag hoe je die gaten gevonden hebt. Een beetje gaan wroeten in andermans systemen mag namelijk niet zomaar, zeker niet zonder toestemming, om bekende redenen. Zorg dus dat je kan vertellen hoe je het gat gevonden hebt.
Bedrijven denken alleen maar aan hun excelsheet, ambtenaren denken alleen maar aan hun pensioen-datum met zo min mogelijk vlekken op hun sheet, tenzij het koffie is door nog steeds door een koffie-juffrouw wordt rondgereden met een kar waarbij dan aan het eind van de dag zo'n 20 koude bakjes half aangebroken op het bureau staan naast de stapels papier waardoor het lijkt alsof die ambtenaren ook wat doen ook.
ze werden geïnformeerd, ze hebben er niets aan gedaan, nu moet het maar op de harde manier.
Uiteindelijk is het aan de eigenaar van de website om te besluiten of deze wel of niet iets met de melding doet. Daarom snap ik dat hele publiek maken van lekken ook helemaal niet, maar ook dat zal wel iets met compensatiedrang te maken hebben.
Ikzelf stuur, als ik heel toevallig tegen een potentieel lek aanloop, gewoon, via een anoniem account, een mail, met een eventuele foutmelding, naar de beheerder of eigenaar en laat het daar vervolgens bij. Het is tenslotte niet mijn probleem als er niets met mijn melding gebeurd.
Maar net zo goed loop je als ervaren lekkenvinder of zelfs gewoon ervaren technologiegebruiker best wel eens perongeluk tegen lekken aan, ook zonder daarvoor te hoeven wroeten, gewoon omdat de maker van de website wel heel naïef bezig was. Dat gebeurt zelfs bij websites van grote bedrijven van naam. Kun je zien hoezeer de kompjoeterkunde nog in de kinderschoenen staat, de beveiliging dus ook. En dan is het toch wel handig dat we elkaar nog net dat beetje kunnen helpen door te wijzen op wel heel erg opvallende miskleunen.
Gewoon een beschrijving geven van wat er mogelijk is met een lek. De complete inhoud van het lek mag wel gemeld worden aan de desbetreffende software leverancier. Zo kan er weer een patch worden uitgebracht, waar het lek is gedicht.
Koffie juffrouwen die rondrijden met kopjes koffie ? Dat heb ik al 20 jaar niet meer gezien.
Ik vind dat de vinder zoiets eerst hoort te melden bij het bedrijf, alvorens daarover te publiceren. Het is niet nodig en niet netjes om een bedrijf eerst aan de schandpaal te nagelen.
Je kan zeggen van je bent binnen gedrongen en je hebt data toegevoegd aan het apparaat. Dit is stafbaar. Mijn intentie is dat ze er van leren en dit oplossen.
Ik vraag me af of er een Europa wet kan komen om deze mensen te beschermen. Dat er een europese group komt die dit soort singalen krijgt van hackers en die toestemming vragen om verder te onderzoeken. Dit onderzoek wordt dan gedaan met vastgestelde protocolen. Waardoor deze europese group er voor kunnen kiezen om deze beveiligings fouten te kunnen melden en veel sterker kunnen staan juridisch.
Ik vind dat de vinder zoiets eerst hoort te melden bij het bedrijf, alvorens daarover te publiceren. Het is niet nodig en niet netjes om een bedrijf eerst aan de schandpaal te nagelen.
Maar als de ene zo'n lek kan vinden kan de ander dat ook, wellicht iemand met (nog) minder scrupules die de boel even leegtrekt en leuk verdient aan de "gevonden" data, wellicht ook nog aan het doorverkopen van het lek zelf. Dus is het toch wel handig om ieder gevonden lek alsnog te dichten. Als nou de partij die het kan en dus moet dichten geen gehoor geeft, dan is publiceren zeg maar het standaard machtsmiddel om resolutie te forceren.
Want we hebben het over twee problemen: Het eerste is het directe probleem van een lek dat gedicht moet worden. Het tweede probleem is dat het gaat over andermans data, en dat is een probleem van degenen over wie die data gaat, zegge van ons allemaal. Er is dus wel een morele grond om het (uiteindelijk) in het publiek te smijten.
Waarom zou je wachten tot iemand anders het lek ook vindt en er leuk aan verdient? Of je gooit het zelf publiek als publieksdienst, of je verdient er aan. Nu zie je ook waarom grote bedrijven als google toch maar wel in de buidel tasten voor gerapporteerde lekken.
Ook al is het een risicovolle ontwikkeling: Voor je het weet wordt een publiek toegankelijke dienst opzetten gewoon te duur voor kleine partijen, en houden we een paar grote partijen over die de hele markt beheersen. Weg innovatie.
En is het, alweer, weinig structureel, iets wat al jaren een groot probleem is in de computerbeveiligingsindustrie, die zich hiermee alleen maar meer gaat toeleggen op deze in essentie erg oppervlakkige aanpak.
1. Is het een belangrijk publiek belang, bijvoorbeeld privacy van anderen burgers, en heb je in het kader van zo'n mogelijk belang wel alles gedaan om die privacy van die anderen te beschermen? Dus wil het bedrijf zelf niet luisteren, heb je het bij de politie en bv consumentenbond geprobeerd?
2. Is het een publieke techniek, dus bijvoorbeeld met apache webserver is dat een publieke techniek. Dat een bedrijf dat niet wil horen in HUN toepassing, wil niet zeggen dat talloze anderen niet een veel meer belangrijke toepassing hebben en het wél willen horen.
Bij deze twee valt of staat de mogelijkheid om lekken te onthullen, grondwettelijk naar onze eigen wet, dat veel advocaten dat niet begrijpen? Tja, we zien dat we nogal wat ruzie maken de laatste tijd over dingen die we allang hebben uitgevonden, zoals privacy, neem het die advocaten niet kwalijk, vaak zien ze door de bomen ZELF het bos niet meer en ipv dat toegeven wordt er maar wat onzin rondgesproeid.
Zie de twee punten hierboven, deze punten naar behoren uitgespeeld, jij kan je lek publiceren.
Niet over nagedacht, belangen uit het oog verloren en dat niet gedubbelchecked? Je bent verantwoordelijk, je bent volwassen, je kan blaten over lekken, moet je zelf dus NIET lek zijn op zulk een simpel vlak. Dat gaat vaak ook over andermans privacy, veel verder dan slechts de lekke organisatie, dus niet meteen gedachtenloos publiceren en dan mekkeren dat niet iedereen dat pikt. Er zijn veel meer mogelijkheden wél dan niet, overigens leer je die pas kennen als je vragen stelt. Moet je ook kunnen natuurlijk, snap ik wel!
hij kon zijn spreekwoordelijke doos inruimen en werd door 2 breedgeschouderde heren gelijk door naar buiten begeleid.
Korte versie: neem je verantwoordelijkheid; geef het aan bij het bedrijf waar je de kwetsbaarheid constateert maar realiseer je degelijk dat hacken strafbaar is. Heb je geen NDA dat had je daar uberhaupt niet mogen zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.