Als het aan coalitiepartij D66 en de oppositiepartijen PvdA en Volt ligt, krijgen ethische hackers meer waardering voor hun werk. Zij pleiten voor een meerjarige financiële regeling als ze ernstige kwetsbaarheden aan het daglicht brengen. Ze vragen aan het kabinet om een geldpotje in het leven te roepen.
Dat blijkt uit een motie die Lisa van Ginneken (D66), Barbara Kathmann (PvdA) en Marieke Koekkoek (Volt) hebben ingediend bij de behandeling van de begroting van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (1).
Hackers zijn er in vele soorten en maten. De hackers waar je vaak over hoort en leest, zijn veelal black hat hackers. Dat zijn criminelen die zonder toestemming inbreken op bedrijfssystemen en -netwerken en kwaadaardige dingen uithalen, zoals het installeren van malware of het stelen en blokkeren van vertrouwelijke informatie.
Beveiligingsspecialisten die met expliciete toestemming kwetsbaarheden opsporen door in te breken in applicaties en andere software, noemen we white hat hackers. Hackers die dit vanuit ethisch perspectief doen, staan bekend als ethische hackers. Zij doen dit niet om geld te verdienen, maar om ernstige kwetsbaarheden en exploits aan de kaak te stellen.
Dan is er ook nog zoiets als een grey hat hacker. Dat is iemand die zonder toestemming inbreekt op een systeem, een kwetsbaarheid aantreft en daar geen misbruik van maakt. Hij meldt de bug bij de website-eigenaar, maar verwacht voor zijn ontdekking wel een financiële beloning. Zo niet, dan dreigt hij de reputatie van de eigenaar aan te tasten.
Tot slot heb je ook nog green hat hackers, blue hat hackers, red hat hackers en script kiddies. In ons achtergrondartikel ‘Wat is een hacker?’ lees je meer over deze soorten hackers.
Ethische hackers spelen vandaag de dag een belangrijke rol. Ze stellen niet alleen programmeerfouten en andere bugs aan de kaak, ze zorgen er voor dat we veilig online kunnen surfen. Een aantal voorbeelden.
Eind 2020 stelde Twitter ethisch hacker Peiter Zatko aan als hoofd van de afdeling beveiliging. De gemeente Den Haag nodigt jaarlijks ethische hackers uit om de veiligheid van de computersystemen te testen. En afgelopen juni wist een ethische hacker twee elektronische borden bij een winkelcentrum langs de A2 te kraken. “Dit bord is niet beveiligd! Stel z.s.m. een wachtwoord in! Groetjes :)”, zo schreef hij.
Natuurlijk mogen we het Dutch Institute for Vulnerability Disclosure (DIVD) niet vergeten. Dat is is een Nederlandse organisatie die het internet afspeurt naar kwetsbare systemen en zero day exploits in softwareprogramma’s om bedrijven en hun klanten te beschermen tegen kwaadwillende hackers en cybercriminelen.
De vrijwilligers van het DIVD wisten in juli 2021 bijna de supply chain attack op het Amerikaanse bedrijf Kaseya te voorkomen. Ze ontdekten een aantal kritieke beveiligingsproblemen. Maar voordat ze deze konden verhelpen, vond de aanval plaats. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, zo vertelden Wietse Boonstra en Frank Breedijk van DIVD hier destijds over.
Voor hun aandeel in de bestrijding van cybercrime, kreeg het DIVD begin dit jaar een donatie van 100.000 dollar van het Amerikaanse beveiligingsbedrijf Huntress.
D66, PvdA en Volt schrijven in hun motie dat ethische hackers “een cruciale rol” vervullen in het signaleren van digitale kwetsbaarheden, zowel bij vitale bedrijven en andere bedrijven. Daarmee beschermen ze onze samenleving en economie tegen sabotage en spionage. Zij doen dit op vrijwillige basis, wat risico’s met zich meebrengt als het gaat om continuïteit.
De fracties vinden het belangrijk dat er “een duurzame structuur” komt waar kennis en samenwerking worden gecombineerd. Daarom verzoeken ze minister Hanke Bruins Slot van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties om komend jaar een “meerjarige subsidieregeling te openen voor duurzame financiering van ethische hacker collectieven”.
De partijen suggereren dat hiervoor financiële ruimte is op de begroting. Beleidsartikel 36 van de begroting van het departement is bestemd voor de zogeheten ‘niet gebonden ruimte’. Zie het als een reservepotje voor onvoorziene activiteiten.
De Tweede Kamer moet nog stemmen over de motie. Mocht een meerderheid van de Kamer hiermee instemmen, is dat nog geen garantie dat het kabinet deze uitvoert. Een motie is niets meer dan een wens van het parlement. Het kabinet heeft de vrijheid om deze naast zich neer te leggen.
https://www.tweedekamer.nl/kamerstukken/moties/detail?id=2022Z21947&did=2022D47345
