Richtlijnen ethisch hacken vooral voor bedrijven

Het Ministerie van Veiligheid en Justitie heeft de Leidraad Responsible Disclosure gepubliceerd. Deze leidraad is vooral bedoeld voor bedrijven en geeft richtlijnen over de vraag hoe zij moeten omgaan met 'ethische' hackers.

De nieuwe overheidsrichtlijn geeft echter geen vrijbrief voor hackers om te doen wat zij willen, meldt Security.nl. De Leidraad Responsible Disclosure biedt handvatten voor bedrijven over hoe zij kunnen omgaan met kwetsbaarheden die door hackers worden gemeld. Organisaties kunnen aan de hand van deze leidraad hun beleid bepalen. Op hun website kunnen zij bijvoorbeeld kenbaar maken dat zij het melden van lekken ondersteunen, mits dit op een verantwoorde manier gebeurt. Zo laten zij een hacker weten dat er goed op een melding wordt gereageerd.

Het is echter de vraag of de goedwillende hacker hier iets aan heeft. Deze loopt nog steeds het risico dat hij wordt vervolgd nadat hij een beveiligingsprobleem bij een bedrijf aan de kaak heeft gesteld. Volgens de richtlijnen mogen hackers geen backdoors, brute-force aanvallen of social engineering toepassen bij het testen van de systemen van een bedrijf. Maar ook als zij zich keurig aan deze richtlijnen houden, dan kan het bedrijf alsnog besluiten om aangifte te doen. Daarna bepaalt de overheid of hier wel of niet sprake is van een geoorloofde actie van de hacker.

De goedwillende hacker kan ook nog eens last krijgen van het Openbaar Ministerie als het daartoe aanleiding ziet. In de leidraad van Justitie staat dat het bedrijf geen aangifte zou moeten doen als je je aan de afspraken houdt. Maar dit neemt niet de verantwoordelijkheid van het Openbaar Ministerie weg om alsnog zelf een onderzoek in te stellen als zij daartoe een reden hebben.

Deel dit artikel
Voeg toe aan favorieten