Zorgen over verdrag dat security-onderzoek criminaliseert

Onderzoekers die te goeder trouw kwetsbaarheden in (overheids)websites vinden en daarover organisaties inlichten kunnen in de toekomst strafbaar worden gesteld. Tenminste, als het Cybersecurity Verdrag waarover de Verenigde Naties onderhandelen wordt ingevoerd. Experts maken zich zorgen.

Meer dan honderdtwintig securityprofessionals en onderzoekers wereldwijd hebben hun zorgen geuit in een brief die als statement is aangeboden bij de Verenigde Naties. Eén ervan is de Nederlander Jaap-Henk Hoepman, die als hoogleraar onder meer is verbonden aan de Radboud Universiteit.   

De discussie over het strafbaar stellen van cybersecurity-onderzoek zoals netwerkverkeer analyseren en zonder toestemming kwetsbaarheden opsporen speelt al jaren, licht Hoepman toe. Zo gebeurde het in 2008 dat collega-onderzoekers door chipfabrikant NXP voor de rechter werden gedaagd toen zij een kwetsbaarheid aantroffen in de chip van de OV-chipkaart en dit aan de kaart stelden om de chipkaart zo uiteindelijk veiliger te maken.

Strengere regels

Hoepman begrijpt wel waarom de Verenigde Naties wereldwijde verdragsregels probeert op te tuigen in de strijd tegen cybercrime. 'Aan de ene kant wil je met strengere regels cybercriminelen aanpakken, maar aan de andere kant maak je daarmee ook een groot deel van het werk van onderzoekers die te goeder trouw systemen testen om ze sterker te maken strafbaar.'

Er wordt momenteel onderhandeld over het verdrag, maar het zal ingewikkeld worden om passende regels op te stellen. 'In feite wil je uitzonderingen vastleggen voor de ‘goedaardige’ hackers die met de juiste intenties kwetsbaarheden opsporen. Dat kunnen onderzoekers zijn, maar ook journalisten die willen aantonen of systemen die belangrijk zijn voor het reilen en zeilen van de maatschappij wel veilig en betrouwbaar zijn. Dit soort onderzoek moet kunnen worden uitgevoerd zonder de vrees dat de ze de politie binnen de kortste keren op hun dak krijgen.'

Extra paragraaf toevoegen

Zoals het verdrag er nu ligt, zou zelfs uit de tekst geïnterpreteerd kunnen worden dat het gebruik van tools om de kwaliteit van overheidswebsites te meten strafbaar wordt. Hoepman hoopt dat het verdrag zodanig wordt uitgewerkt dat onderzoekers met goede intenties worden vrijgesteld. 'Het zou kunnen in de vorm van een extra paragraaf of een clausule waarin wordt opgenomen dat te goeder trouw onderzoek verrichten naar veiligheid van systemen altijd is toegestaan.'

Wanneer een dergelijke aanscherping er niet komt, schiet het verdrag volgens Hoepman volledig zijn doel voorbij. 'In deze vorm wordt de wereld niet veiliger, maar juist onveiliger omdat onderzoek naar de veiligheid van systemen praktisch onmogelijk wordt gemaakt en we dus geen informatie meer kunnen vergaren daarover. Dat betekent dat we de kwetsbaarheden die we nu wél vinden, straks niet meer kunnen vinden.'