Beleid OM ‘ethische hackers’ in lijn met ‘leidraad Responsible Disclosure’
/Recente berichtgeving op NU.nl wekt de indruk dat het opsporingsbeleid van het OM op gespannen voet staat met het beleid van de minister van Veiligheid en Justitie. Deze aanname is feitelijk onjuist. Het OM heeft begin dit jaar beleid ontwikkeld hoe te handelen bij ethische hackers dat in lijn is met de ‘Leidraad Responsible Disclosure'.
Op 18 maart 2013 ontvingen alle parkethoofden van het OM hierover een beleidsbrief. Aanleiding was de handreiking ‘Leidraad om te komen tot een praktijk van Responsible Disclosure' dat kort daarvoor gepresenteerd was door het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Veiligheid.
Doel van deze leidraad is het bieden van bouwstenen voor organisaties om een beleid voor Responsible Disclosure (RD) vast te kunnen stellen. Dit beleid geeft de ‘ethische hacker' duidelijkheid hoe door de desbetreffende organisatie zal worden omgegaan met door die hacker aangetoonde en/of gemelde kwetsbaarheden in de ICT-systemen. Het biedt de getroffen bedrijven de mogelijkheid om kwetsbaarheden te verhelpen en schade te beperken voordat de hacker met zijn daad naar buiten treedt.
Het RD is dan ook geen ‘gegeven' of ‘beleid' waar eenieder zich zondermeer op kan beroepen. Evenmin is de RD uniform. Er is sprake van RD, wanneer het gehackte bedrijf ook een RD-beleid heeft. Wanneer daar geen sprake van is, is er ook geen sprake van RD. Dikwijls is nader (strafrechtelijk) onderzoek nodig om na te gaan of een melding die is gedaan door een hacker, onder de gegeven omstandigheden noodzakelijk en proportioneel was.
Als een hacker direct en veilig communiceert met de eigenaar van het ICT-systeem over een aangetroffen lek in de beveiliging en er geen gegevens zijn verwijderd of gemanipuleerd, kan er sprake zijn van RD en is er geen aanleiding om (verder) strafrechtelijk onderzoek of vervolging in te stellen. Er is echter geen sprake van RD daar waar wel gegevens zijn verwijderd, gemanipuleerd of gekopieerd, dan wel op onevenredige wijze toegang is verschaft tot het ICT-systeem.
Bron: OM