“Bedrijf X gehackt en 3 miljoen persoonsgegevens op straat”. Zo maar een kop uit een willekeurige krant. Een vooraanstaand bedrijf had een goed beveiligde website met koppeling naar hun achterliggende klantgegevens, maar zijn toch gehackt en nu hebben niet alleen zij, maar ook de klanten van het bedrijf een groot probleem. Creditcard gegevens op straat, persoonsgegevens op straat, mogelijkheid tot identiteitsfraude.
“Hackers zijn evil!”. Daar lijkt het dan wel op. Criminelen zijn het, die vanaf een donkere zolderkamer inbreken in systemen die niet van hun zijn en de verkregen data gebruiken om er zelf financieel beter van te worden. Dit beeld wordt bevestigd als je in google ‘hacker’ in tikt en dan op afbeeldingen klikt. Skimaskers en hoodies. Boeven.
Ik zelf hack al sinds mijn 13e. En ik kan u verzekeren, ik heb nooit een skimasker op als ik aan het hacken ben. Veel te warm, en uitermate onhandig. Hackers houden van pizza, en pizza eten met een skimasker op is echt niet te doen. Hoodies? uiteraard. Heel handig als je tot diep in de nacht geconcentreerd door wil werken. Achterstevoren aan doen, chips of popcorn in de capuchon en dooreten terwijl je hackt.
Nooit lees je “Hacker X hielp bedrijf X om NIET gehackt te worden door het doen van een Responsible Disclosure”. Terwijl ik durft te stellen dat dit toch vaker gebeurt dan de ‘kwaadaardige’ hacks. We hebben, als hacker community in Nederland namelijk hard gewerkt aan een prachtig Responsible Disclosure beleid. Samen met het Openbaar ministerie, en het NCSC (Nationaal Cyber Security Center). Ja, u leest het goed, de overheid is niet zo bang voor hackers. Samenwerken met hackers is juist zeer gewenst, en werkt.
Wat houdt een Responsible Disclosure beleid in? Heel simpel, het zijn spelregels.
Stel, u heeft een bedrijf met een mooie website en dito producten. Vind een hacker nou een gat in uw website, en kan hij of zij bij persoonsgegevens, dan kan hij deze uiteraard stelen en verkopen, maar wat hij ook kan doen is melding van de hack bij u doen, en er samen met u voor zorgen dat het lek gedicht wordt.
De hacker dient zich wel aan enkele spelregels te houden:
⁃ Geen misbruik maken van de data.
⁃ Het lek niet delen met derden.
⁃ Niet meer data downloaden dan strikt noodzakelijk om aan te tonen dat het
lek echt is.
⁃ En met u delen hoe hij/zij het gevonden heeft, en het liefst ook hoe u het zou
kunnen oplossen.
Voor u als bedrijf zijn er ook een paar regels, maar de belangrijksten:
⁃ U reageert binnen een vastgestelde tijd (meestal 5 dagen)
⁃ en gaat in gesprek met de melder, en u belooft dat u geen aangifte zal
doen.
That’s it. U bent op de hoogte van een beveiligingslek en kan het samen met de hacker oplossen, waardoor kwaadwillenden uw data niet meer kunnen misbruiken.
En wat dat kost? Een t-shirt vinden we geweldig. Of een waardebon. Of een beker, of misschien een geldbedrag. Alles mag. U bent veiliger, en zodra het lek gedicht is kan de hacker misschien (in overleg) vertellen hoe hij op briljante wijze uw beveiliging kon omzeilen en geholpen heeft om u veiliger te maken. Heel veel hackers willen alleen maar mensen helpen. Uiteraard zijn er criminelen, net als er op straat ook inbrekers zijn. Maar het overgrote deel doet het omdat ze uitermate nieuwsgierig van aard zijn, en omdat het kan. Omdat ze het een prachtig spel vinden om te zien hoe ver ze kunnen komen. Wees niet bang. Maak er gebruik van. Omarm ze. Samen op weg naar een veiliger samenleving!