Ethisch hacken en het strafrecht

Bij hacken wordt vaak gedacht aan het binnendringen van systemen met kwade bedoelingen. Die vorm van hacken is zonder meer strafbaar. Daarnaast bestaat echter ook hacken met een nobele doelstelling, het zogenaamde ethisch hacken. Dit wordt ook wel white hat hacking genoemd, waar kwaadaardige hackers een black hat krijgen toebedeeld.

Ethische hackers vinden kwetsbaarheden in netwerken en systemen en onderscheiden zich door hiervan geen misbruik te maken, maar kwetsbaarheden direct te melden aan de beheerder van het systeem. Zo kan het lek worden gedicht en is het betreffende systeem beter beveiligd.

Bijvoorbeeld signaleren dat een database via een formulier op een website vatbaar is voor SQL-injecties kan vallen onder white hat hacking. Andere handelingen vallen buiten het bestek van ethisch hacken, zoals het uitvoeren een DDoS-aanval of het bruteforcen van een systeem om toegang te krijgen.

De Nederlandse wet maakt geen onderscheid op grond van de intenties van een hacker. Verschillende strafbepalingen, waaronder computervredebreuk (art. 138ab Sr), zijn in beginsel ook op ethisch hacken van toepassing. De wetgever wilde benadrukken dat inbreken in een systeem ‘onvoorwaardelijk niet is toegestaan’ (zie B.J. Koops en J.J. Oerlemans (red.), Strafrecht en ICT, Den Haag: Sdu 2019, p. 39). In de praktijk hoeft dat echter niet steeds tot een veroordeling te leiden (voor zover de identiteit van de hacker al bekend zou zijn geworden). Ten eerste wordt bij een gewetensvolle hack niet altijd aangifte gedaan. Ten tweede moet voor een veroordeling sprake zijn van wederrechtelijkheid. Hier liggen de kansen voor de ethische hacker.

Geen aangifte bij Coordinated Vulnerability Disclosure

Veel organisaties hebben tegenwoordig beleid met betrekking tot Coordinated Vulnerability Disclosure (CVD), ook wel Responsible Disclosure (RD) genoemd. Het gaat hier om het op verantwoorde wijze melden van kwetsbaarheden, op een wijze zoals bepaald door de organisatie. Wanneer een kwetsbaarheid is aangetoond en gemeld volgens die regels, wordt in principe geen aangifte gedaan. Integendeel, soms wordt dan een eervolle vermelding of zelfs een beloning in het vooruitzicht gesteld.

CVD-beleid is ontstaan vanuit het besef dat organisaties er baat bij hebben om zo snel en zorgvuldig mogelijk op de hoogte te raken van kwetsbaarheden in hun systemen. Organisaties maken via dit beleid kenbaar op welke wijze – en onder welke voorwaarden – zij bereid zijn om geen aangifte te doen van bijvoorbeeld computervredebreuk. Daarmee bestaat op voorhand duidelijkheid over de ‘spelregels’ van ethisch hacken bij die betreffende organisatie.

In 2013 heeft het Nationaal Cyber Security Centrum (NCSC) een leidraad gepubliceerd om te komen tot een praktijk van responsible disclosure. Deze leidraad is naar aanleiding van opgedane ervaringen in 2018 geactualiseerd. Het NCSC benadrukt dat de meldingen in de laatste jaren de veiligheid en continuïteit van informatiesystemen hebben verbeterd, en erkent daarmee de waarde van ethisch hacken.

Het Openbaar Ministerie heeft in 2013 een beleidsbrief gepubliceerd. In deze brief zet het College van Procureurs-Generaal uiteen hoe het OM dient te handelen in geval van ethisch hacken. Uitgangspunt is daarbij dat geen strafrechtelijk onderzoek plaatsvindt indien sprake is van “rechtsherstel” tussen melder en organisatie. Tegelijkertijd wordt in de brief benadrukt dat verantwoord melden van een kwetsbaarheid de melder “geenszins vrijwaart” van de mogelijkheid dat alsnog strafrechtelijk onderzoek of zelfs vervolging wordt ingesteld. In geval van twijfel wil het OM dan onder meer kunnen beoordelen of een melder niet te ver is gegaan.

Beoordelingscriteria OM en rechter

Criteria bij het beoordelen van ethisch hacken zijn of het handelen noodzakelijk was en of voldaan is aan de eisen van proportionaliteit en subsidiariteit. Voor de noodzakelijkheid wordt gekeken of sprake was van een zwaarwegend algemeen belang. Proportionaliteit ziet op de vraag of het gekozen middel in een redelijke verhouding stond tot het doel. Subsidiariteit ten slotte ziet op de vraag of de hacker anders had kunnen en moeten handelen. Hier is onder meer van belang dat een kwetsbaarheid zo spoedig mogelijk wordt gemeld.

Indien het toch tot strafrechtelijke vervolging komt, kan de white hat hacker bepleiten dat de wederrechtelijkheid aan zijn handelen heeft ontbroken. Als de rechter dat verweer honoreert, volgt in de regel vrijspraak (bijvoorbeeld in geval van computervredebreuk).

Een hacker die binnendrong op de server van een ziekenhuis, handelde volgens de rechtbank noodzakelijk om aan te tonen dat het netwerk slecht beveiligd was. Toch ging de hacker niet vrijuit, omdat hij direct een journalist heeft ingelicht en zich later nog een aantal malen toegang heeft verschaft tot de server. Bovendien heeft hij in het systeem gezocht naar gegevens van een bekende Nederlander. De rechtbank oordeelde daarom dat de grenzen van proportionaliteit waren overschreden en veroordeelde de hacker voor computervredebreuk.

Direct naar de media stappen werd ook een verdachte in een zaak uit 2018 verweten. Ook hier was niet voldaan aan de eis van proportionaliteit.

Conclusie

Kortom, voor de ethische hacker is het raadzaam zich eerst te vergewissen van het beleid inzake Coordinated Vulnerability Disclosure van een organisatie. De inhoud daarvan is van belang. Hierin kan immers beschreven staan in welke gevallen wel of geen aangifte wordt gedaan. Zo wordt het uitgebreid scannen van systemen niet altijd gewaardeerd, omdat de organisatie niet op voorhand weet of het een white hat hacker betreft of een kwaadaardige indringer. Dan kunnen onnodig kosten worden gemaakt door het Computer Emergency Response Team (CERT) in te zetten.

Bovenal is van belang om de inbreuk zo beperkt mogelijk te houden door het minst vergaande middel te gebruiken, geen gegevens over te nemen en het lek onmiddellijk te melden. Dit laatste dient ook prudent te gebeuren, bijvoorbeeld met een versleuteld e-mailbericht zodat derden geen kennis kunnen nemen van de kwetsbaarheid. Ook is niet aan te raden om zelf actief voorwaarden te stellen, zoals een beloning. Het initiatief daartoe zal in voorkomende gevallen bij de organisatie moeten liggen. Ten slotte is het raadzaam pas naar buiten te treden met de ontdekking nadat de kwetsbaarheid is opgelost.

Behalve wanneer de ethisch hacker volledig anoniem blijft, is vervolging nooit volledig uit te sluiten. De criteria bieden immers ruimte voor interpretatie. Wanneer echter aan al deze voorwaarden is voldaan, is het risico op strafvervolging – ondanks de wat onverbiddelijke wettekst en parlementaire geschiedenis – relatief klein. Vervolging zou in deze gevallen steeds moeten uitblijven. Want de melder die de inbreuk beperkt houdt, niets overneemt en direct volgens de RD-beleidsregels van de organisatie een melding doet, bewijst daarmee de organisatie en de samenleving een dienst.