Tweakers.net benaderde mij voor een interview over ethische dilemma’s in cybersecurity. Vanwege de beperkte ruimte in het uiteindelijke artikel is daar een ingekorte weergave van mijn antwoorden opgenomen. Om de volledige context en nuance te behouden, publiceer ik hieronder de oorspronkelijke, uitgebreide antwoorden op de stellingen:
- Het is gerechtvaardigd om criminelen uit eigen beweging te hacken om phishingacties te verijdelen.
- Het is een slecht idee om ransomwarecriminelen losgeld te betalen.
- Echt ‘ethisch’ hacken kan alleen als je instanties hackt waarbij je in dienst bent/die je hebben ingehuurd, anders ben je gewoon aan het inbreken.
- Responsible disclosure is de beste vorm van disclosure.
- Ethische hackers moeten geen geheimhoudingsverklaringen tekenen over kwetsbaarheden.
- Veel ethische hackers doen hun werk voor een groot deel voor de (media-) aandacht.
- Bugbounties verstoren samenwerkingen door ethische hackers, omdat ze direct met elkaar concurreren om een beloning.
- Organisaties als de DIVD moeten ethische hackers strenger screenen om te voorkomen dat ze misbruik maken van hun positie.
- Het is gerechtvaardigd om een vermist persoon te hacken in een poging om meer informatie over de vermissing te vinden.
- De wet in Nederland/België moet aangepast worden om ethische hackers meer ruimte te bieden.
1. Het is gerechtvaardigd om criminelen uit eigen beweging te hacken om phishingacties te verijdelen
Dit raakt aan het principe van ‘hack back’, en daar is binnen de securitysector brede consensus over: zonder juridisch mandaat is het geen verdediging, maar eigenrichting.
Hoewel de intentie begrijpelijk is, is dit in de meeste gevallen niet gerechtvaardigd. Dergelijke acties ondermijnen de rechtsstaat en creëren precedentwerking waarbij individuen zelf bepalen wanneer ingrijpen proportioneel zou zijn.
Daarnaast zijn de operationele risico’s aanzienlijk. Eigenhandig ingrijpen kan opsporingsonderzoeken verstoren, leiden tot escalatie met criminelen en schade veroorzaken aan derden. Bijvoorbeeld door misattributie van infrastructuur, het raken van gedeelde hostingomgevingen of het verstoren van systemen die ook legitiem worden gebruikt.
Er zijn denkbaar uitzonderlijke situaties waarin de afweging kantelt, met name bij directe, grootschalige schade en hoge tijdsdruk zonder effectieve alternatieven. Bijvoorbeeld bij een actieve phishingcampagne die aantoonbaar veel slachtoffers maakt en niet tijdig kan worden gestopt via reguliere kanalen.
Die uitzonderingen veranderen echter niet het uitgangspunt. Juist omdat de intentie vaak goed is, moet hier streng in worden gebleven: zonder mandaat is hacken geen verdediging, maar een extra risicofactor in een al instabiele situatie.
2. Het is een slecht idee om ransomwarecriminelen losgeld te betalen
Als uitgangspunt is het betalen van afpersgeld een slecht idee: het financiert criminaliteit, versterkt het verdienmodel en creëert precedentwerking richting toekomstige slachtoffers. Bovendien koop je geen zekerheid: data kan alsnog worden gepubliceerd of doorverkocht.
Tegelijk is deze discussie in de praktijk minder principieel dan vaak wordt voorgesteld. In incident response-trajecten worden dit soort beslissingen zelden genomen vanuit moraal, maar onder tijdsdruk en met incomplete informatie, waarbij operationele continuïteit, aansprakelijkheid en maatschappelijke impact samenkomen.
Bij grootschalige data-afpersing verschuift de vraag daarom van principe naar proportionaliteit. Als betaling de kans op ernstige en langdurige schade voor grote groepen betrokkenen aantoonbaar verkleint, kan dat ondanks alle bezwaren, een verdedigbare keuze zijn.
De discussie wordt vaak te lineair gevoerd, terwijl de echte afweging in de indirecte effecten zit: welke prikkels creëer je voor toekomstige aanvallen, en hoe verhouden die zich tot de directe schade die je nu voorkomt?
Niet de morele reflex, maar de vraag welke keuze de minste totale maatschappelijke schade veroorzaakt, zou leidend moeten zijn.
3. Echt ‘ethisch’ hacken kan alleen als je instanties hackt waarbij je in dienst bent/die je hebben ingehuurd, anders ben je gewoon aan het inbreken
Vanuit juridisch perspectief is deze stelling correct: zonder expliciete toestemming is er sprake van computervredebreuk. Toestemming vormt de primaire scheidslijn tussen geautoriseerd en ongeautoriseerd handelen.
Ethisch gezien ligt dit genuanceerder. In de praktijk bestaat er een grijze zone waarin onderzoekers zonder mandaat kwetsbaarheden aantonen met als doel schade te voorkomen. Historisch heeft juist dat type onderzoek bijgedragen aan het blootleggen van structurele beveiligingsproblemen.
De beoordeling van dergelijk handelen draait om proportionaliteit en subsidiariteit: was de inbreuk minimaal, noodzakelijk en doelgericht, en waren er geen minder ingrijpende alternatieven beschikbaar?
Tegelijk accepteert de sector impliciet dat deze grijze zone bestaat, maar niemand beschouwt die als wenselijk eindmodel. Zonder duidelijke kaders ontstaat juridische onzekerheid en risico op misbruik.
In situaties waarin met minimale interactie een ernstig lek kan worden aangetoond zonder data-inzage, exfiltratie of verstoring, en dit vervolgens zorgvuldig wordt gemeld, kan dat ethisch verdedigbaar zijn. Maar juridisch blijft het risicovol.
Toestemming blijft daarom de enige ondubbelzinnige basis voor zowel ethisch als rechtmatig handelen.
4. Responsible disclosure is de beste vorm van disclosure
Responsible disclosure is de industriestandaard omdat het een werkbare balans biedt tussen risicobeperking en transparantie. Het model functioneert goed zolang organisaties bereid en in staat zijn om adequaat te reageren. In de praktijk zie je echter dat die voorwaarde niet altijd wordt vervuld.
Wanneer partijen structureel nalatig zijn, kan volledige of versnelde disclosure gerechtvaardigd zijn om druk te creëren. In dat soort gevallen verschuift de afweging van coördinatie naar risicobeperking voor eindgebruikers. Responsible disclosure is daarmee de beste default, maar geen absoluut principe. Het is een model dat werkt bij wederkerigheid en minder goed bij asymmetrie.
5. Ethische hackers moeten geen geheimhoudingsverklaringen tekenen over kwetsbaarheden
Het onderscheid tussen werk in opdracht en onafhankelijk onderzoek is hier essentieel.
Bij opdrachten is een NDA standaard en gerechtvaardigd. In die context is het logisch dat bevindingen vertrouwelijk blijven zodat kwetsbaarheden gecontroleerd kunnen worden gevonden en verholpen, zonder onnodige blootstelling van systemen of schade aan de reputatie van de organisatie.
Bij onafhankelijk onderzoek ligt dit anders. Daar is het niet vanzelfsprekend dat een onderzoeker een NDA accepteert, en is de inhoud en reikwijdte bepalend.
Sommige NDA’s faciliteren een gestructureerd remediationproces. Problematisch wordt het wanneer NDA’s worden ingezet om transparantie structureel te beperken, disclosure te blokkeren of reputatieschade te minimaliseren in plaats van risico’s te beheersen. Dat soort constructies verschuiven de balans van risicobeperking naar risicoverhulling.
Een selectieve benadering is daarom noodzakelijk bij onafhankelijk onderzoek: NDA’s die tijdige en redelijke disclosure mogelijk maken zijn acceptabel; NDA’s die structureel transparantie beperken niet.
6. Veel ethische hackers doen hun werk voor een groot deel voor de (media-) aandacht
Deze stelling is deels waar, maar onvoldoende onderscheidend. Reputatie en zichtbaarheid spelen een rol binnen de sector, onder andere als mechanisme voor erkenning en carrièreontwikkeling. Dat is niet uniek voor cybersecurity.
Tegelijk is aandacht vaak een middel, geen doel. In de praktijk zie je dat publieke druk soms noodzakelijk is om organisaties of de politiek in beweging te krijgen, zeker wanneer interne processen falen of risico’s worden onderschat.
Daarnaast speelt media-aandacht een rol in bewustwording en gedragsverandering bij het bredere publiek, een cruciaal onderdeel van cybersecurity dat vaak wordt onderschat.
Het reduceren van ethisch hacken tot “aandacht zoeken” miskent de maatschappelijke waarde van het werk.
7. Bugbounties verstoren samenwerkingen door ethische hackers, omdat ze direct met elkaar concurreren om een beloning
Bug bounty-programma’s introduceren een marktmechanisme in securityonderzoek. Dat leidt onvermijdelijk tot competitie. Die competitie kan samenwerking verminderen, omdat onderzoekers parallel werken aan dezelfde targets en incentives gericht zijn op individuele beloning.
Tegelijk verhoogt dit model snelheid en efficiëntie en geeft het organisaties toegang tot een wereldwijd ecosysteem van onderzoekers. De uitkomst wordt grotendeels bepaald door incentive design: hoe zijn beloningen gestructureerd, hoe wordt duplicatie behandeld, en in hoeverre wordt samenwerking gefaciliteerd?
Bug bounties zijn daarmee geen intrinsiek goed of slecht model, maar een systeem waarvan de effecten sterk afhankelijk zijn van implementatie.
8. Organisaties als de DIVD moeten ethische hackers strenger screenen om te voorkomen dat ze misbruik maken van hun positie
Het risico op insider threat is reëel en vraagt om beheersmaatregelen. Tegelijk kan te strenge screening de instroom beperken en de effectiviteit van vrijwilligersorganisaties ondermijnen, zeker in een domein waar snelheid en schaal belangrijk zijn.
Effectieve risicobeheersing ligt daarom niet alleen in screening, maar in governance: logging, peer review, scheiding van verantwoordelijkheden en transparante processen.
In security is controle zelden afhankelijk van één maatregel; het gaat om gelaagde beheersing. Een gebalanceerde aanpak is noodzakelijk om zowel vertrouwen als slagkracht te behouden.
9. Het is gerechtvaardigd om een vermist persoon te hacken in een poging om meer informatie over de vermissing te vinden
Zonder toestemming inbreken in accounts is juridisch strafbaar en kan opsporingsonderzoeken verstoren. In beginsel horen dergelijke bevoegdheden bij instanties met mandaat en toezicht.
Daarnaast speelt een fundamentele ethische vraag: wil de vermiste persoon überhaupt gevonden worden? Niet elke vermissing is onvrijwillig. Er zijn echter uitzonderlijke scenario’s denkbaar waarin de afweging kantelt, met name bij acute levensbedreigende situaties, hoge tijdsdruk en aantoonbaar falende of trage interventie van bevoegde instanties.
Zelfs in die gevallen blijft het juridisch risicovol en ethisch complex. Het probleem is niet dat er geen argumenten vóór ingrijpen zijn, maar dat er geen robuust kader bestaat om dat handelen te legitimeren. Juist daarom hoort dit type interventie in principe bij partijen met wettelijke bevoegdheden, niet bij individuen.
10. De wet in Nederland/België moet aangepast worden om ethische hackers meer ruimte te bieden
De huidige wetgeving sluit niet altijd goed aan op de realiteit van modern securityonderzoek, met name in de eerdergenoemde grijze zone.
Dat leidt tot onzekerheid en kan een ontmoedigend effect hebben op onderzoekers die in het publieke belang handelen.
Aanpassing van wetgeving kan wenselijk zijn, maar alleen onder strikte voorwaarden. Ongecontroleerde verruiming creëert risico op misbruik, escalatie en normalisering van ongeautoriseerde toegang.
De oplossing ligt niet in “meer ruimte”, maar in duidelijkere kaders: expliciete bescherming voor responsible disclosure, heldere grenzen voor onderzoek en eventueel gecontroleerde vormen van actieve verdediging onder toezicht.
Zonder die kaders verschuif je het probleem, in plaats van het op te lossen.
