Achtergrond - Is onbevoegd online inbreken oké? Acht ethisch hackers over hun morele grenzen

In dit artikel:

Ethisch hacken staat in de praktijk vol grijze gebieden: onderzoekers willen de samenleving beschermen, maar hun methoden stoten vaak aan tegen juridische en morele grenzen. Tweakers vroeg acht ethisch hackers naar tien prangende stellingen. Hun antwoorden tonen terugkerende spanningen rond eigenmachtig ingrijpen, losgeld, toestemming, disclosure, geheimhouding, publiciteit, marktdruk, screening van vrijwilligers en de wettelijke kaders in Nederland en België.

Vigilante-ingrepen: wanneer mag je criminelen zelf hacken?
Inti De Ceukelaire beschreef hoe hij recentelijk een phishingpanel van een bende infiltreerde en lopende campagnes blokkeerde zonder vooraf de politie te informeren. Hij ziet zijn actie als noodzakelijk vanwege de omvang van de schade en het tekort aan middelen bij de autoriteiten in België. Andere onderzoekers erkennen het nut in uitzonderlijke gevallen, maar waarschuwen dat dergelijke acties juridische risico’s en verstoring van opsporingsonderzoeken kunnen veroorzaken. Veel respondenten benadrukken proportionaliteit: alleen handelen als de interventie beperkt, doelgericht en in het belang van slachtoffers is.

Losgeld betalen: principieel fout, praktisch soms onvermijdelijk
De meesten vinden betalen aan ransomwarecriminelen problematisch omdat het criminaliteit financiert en precedent schept. Toch noemen sommigen situaties waarin betaling de minste maatschappelijke schade lijkt op te leveren — bijvoorbeeld bij acute risico’s voor continuïteit of mensenlevens. De keuze wordt in de praktijk vaak operationeel genomen onder tijdsdruk, waarbij proportionaliteit en langetermijneffecten zwaar meewegen. Meerdere experts pleiten voor betere ondersteuning en preventie, zodat organisaties minder gedwongen worden tot betalen.

Hack zonder toestemming: strafbaar maar soms moreel complex
Algemeen is men het eens dat zonder expliciete toestemming inbreken juridisch computervredebreuk is. Ethisch kan er volgens velen wel ruimte zijn voor minimale, doelgerichte tests als alternatief ontbreekt en veel schade wordt voorkomen. Anderen vinden dat dergelijke beslissingen door bevoegde instanties moeten worden genomen, niet door individuele onderzoekers, om belangen en lopende onderzoeken juist af te wegen.

Disclosurepraktijken: coordinated disclosure boven alles, maar met kritiek
De term responsible disclosure wordt door sommige geïnterviewden vervangen door coordinated vulnerability disclosure (CVD): onderzoekers zouden leveranciers waarschuwen en redelijke tijd geven om te patchen, maar leveranciers mogen niet eenzijdig het tempo bepalen. Er is ook begrip voor full disclosure in gevallen van herhaaldelijke nalatigheid. Samengevat: CVD is het ideale uitgangspunt, maar heeft grenzen als leveranciers niet adequaat handelen.

Geheimhouding (nda): nuttig bij opdrachten, problematisch bij onafhankelijk onderzoek
Bij opdrachtwerk zijn nda’s normaal en functioneel; bij onafhankelijk onderzoek kunnen ze transparantie en leren in de sector blokkeren. Meerdere sprekers stellen dat nda’s acceptabel zijn als ze remediation en redelijke disclosure toelaten, maar dat nda’s die structuur verbergen of disclosure verhinderen onwenselijk zijn.

Media en publiciteit: instrument, niet doel
De geïnterviewden zeggen dat media-aandacht nuttig kan zijn om druk op beleidsmakers te zetten of het publiek te informeren, maar dat persoonlijke promotie nooit de primaire drijfveer mag zijn. Er is zorg over hacks die vooral bedoeld zijn voor publicity of marketing.

Bugbounty’s en competitie: beloning versus samenwerking
Bugbounty-programma’s introduceren marktprikkels die snelheid en bereik vergroten, maar ook concurrentie en verminderde samenwerking tussen onderzoekers stimuleren. De effectiviteit hangt af van hoe incentives zijn ontworpen; het systeem is geen panacee maar kan waardevol zijn naast commerciële pentests en CVD-trajecten.

Screening van vrijwilligers: realistisch en proportioneel
Na de arrestatie in 2023 van een vrijwilliger van DIVD die betrokken bleek bij misbruik, pleiten sommigen voor strengere screening, maar anderen wijzen op beperkingen: het is moeilijk om risicovol gedrag vooraf te detecteren en screening kan niemand volledig vrijwaren. Een praktischer maatregel is het beperken van toegang tot gevoelige data en het bieden van legale kanalen voor talent met dubieuze interesses om maatschappelijk nuttig actief te zijn.

Persoonskwesties en spoedzaak (vermissing)
De zaak waarin De Ceukelaire toegang probeerde te krijgen tot online accounts van zijn vermiste neef illustreert de ethische spanning tussen privacy en reddingsintenties. Hij handelde op verzoek van de familie en vond het moreel verdedigbaar gezien de medische signalen, maar collega’s benadrukken dat dergelijke acties normaliter bij bevoegde instanties horen en lopende onderzoeken kunnen schaden.

Wettelijk kader: Nederland versus België
Nederland hanteert praktijkgerichtheid en relatieve vervolgingsvrijheid: officieren van justitie beoordelen per casus of vervolging gepast is, wat onderzoekers enige flexibiliteit geeft. België koos voor een strikter wettelijk kader (uitsluitingsgrond gekoppeld aan regels van het Centrum voor Cybersecurity België), inclusief korte meldtermijnen en beperkingen op publicatie — maatregelen die bedoeld zijn om onderzoekers te beschermen, maar in de praktijk onderzoekers kunnen ontmoedigen en de vrijheid van coordinated disclosure beperken. Verschillende experts zien behoefte aan meer duidelijke, werkbare regels en beter onderwijs over principes als proportionaliteit en subsidiariteit.

Conclusie
Ethisch hacken levert maatschappelijke waarde maar roept voortdurend lastige afwegingen op tussen effectiviteit, rechtszekerheid en transparantie. De geïnterviewde hackers pleiten voor proportionaliteit, het delen van kennis waar mogelijk, en voor systemen (wetgeving, ondersteuning, incentives) die goede intenties mogelijk maken zonder onnodige risico’s of onrechtmatige privacyschendingen. Duidelijke kaders en betere wederzijdse communicatie tussen onderzoekers, bedrijven en overheid blijven cruciaal om de balans tussen veiligheid en recht matig te houden.