Minister Opstelten van Veiligheid en Justitie heeft gisteren een leidraad voor responsible disclosure gepubliceerd. Hoewel de leidraad een goede eerste stap is, behoeft zij wel enige aanscherping. Hierbij kan geleerd worden van ervaringen in het verhogen van de veiligheid van de luchtvaart (en bestaande verdragen en wetgeving daaromtrent).
Wat opvalt is dat de leidraad vooral verplichtingen aan de melder oplegt ("de melder zal''). De eigenaar van het IT systeem wordt echter alle vrijheid geboden ("de organisatie kan''). Deze onbalans is ongewenst. Het risico op vervolging (strafrechtelijk dan wel civielrechtelijk) ligt immers bij de melder, terwijl de organisatie (en de samenleving in haar geheel) juist baat bij de melding heeft.
In het bijzonder is het een gemiste kans om organisaties niet te verplichten hun beleid voor responsible disclosure openbaar te maken (zodat de melder van te voren weet waar hij aan toe is). Daarnaast zou er sterker op gestuurd kunnen worden om in een dergelijk beleid de melder op voorhand te vrijwaren van vervolging. Een dergelijke vrijwaring zou standaard moeten zijn, om te voorkomen dat potentiële melders afgeschrikt worden. In dat licht bezien is de mededeling in het begeleidende persbericht dat
De zelfstandige bevoegdheid van het Openbaar Ministerie om eventueel tot vervolging over te gaan wanneer het vermoeden bestaat dat er strafbare feiten zijn gepleegd, blijft bestaan.
wellicht contraproductief. (Ik zal hier maar verder niet ingaan op de vraag of niet ook de eigenaar van het IT systeem vervolgd zou moeten kunnen worden voor het in gebruik hebben van een kwetsbaar systeem waarmee het de veiligheid van zijn klanten (of de samenleving) in gevaar brengt...)
Interessant in deze context is de uitgave van het Wetenschappelijk Onderzoeks en Documentatiecentrum (WODC) van het ministerie van Veiligheid en Justitie van Justitiële verkenningen (33/5) 2007 over Veiligheid in het luchtruim. In de luchtvaart is de cultuur traditioneel sterk op leren en niet op straffen gericht. Dit om de luchtvaart zo veilig mogelijk te maken. Hoewel deze cultuur vast ligt in internationale verdragen, zijn deze verdragen slechts beperkt in nationale wetgeving overgenomen. In de luchtvaart moeten volgens de Europese richtlijn voorvallen verplicht gemeld worden. In Nederland wordt bij zo'n meldinghet Openbaar Ministerie (OM) bijvoorbeeld automatisch geïnformeerd bij opzet of grove nalatigheid. Strafrechtelijke procedures tegen piloten en luchtverkeersleiders hebben er voor gezorgd dat het aantal meldingen flink gedaald is, en bovendien geanonimiseerd worden. Aan de andere kant verbiedt Artikel 64 lid 1 van de Wet onderzoeksraad voor Veiligheid (OvV) de Onderzoeksraad in vrijwel alle gevallen de verstrekking van gegevens aan het OM voor het gebruik als bewijs in een strafrechtelijke procedure. Bovendien sluit artikel 64 lid 2 uit dat genoemde gegevens ter inzage kunnen worden gevorderd dan wel in beslag genomen kunnen worden.
Daarnaast lijkt de leidraad hier en daar openbaarmaking van kwetsbaarheden te willen beperken.
Als een kwetsbaarheid niet of moeilijk op te lossen is, of indien er hoge kosten mee gemoeid zijn, kunnen melder en organisatie afspreken om de kwetsbaarheid niet openbaar te maken.
De organisatie zal al gauw vinden dat 1) de kwetsbaarheid niet zo schadelijk is en 2) dat de oplossing te duur is. Onze eigen ervaringen met deze materie (inclusief rechtzaak) geven dit al aan. Zoals Bruce Schneier al eens eerder heeft beargumenteerd, is de kracht van responsible disclosure juist het risico (voor de eigenaar) van het in de openbaarheid komen van de kwetsbaarheid als hij niet adequaat met de melding omgaat. Door dit risico in te perken (door restricties op te leggen aan het openbaar maken van een kwetsbaarheid) wordt responsible disclosure minder effectief. De eigenaar kan dan immers de melding naast zich neer leggen.
Niet gemelde kwetsbaarheden zijn nog steeds kwetsbaarheden: ze zijn er wel degelijk, ook al zijn ze niet gemeld. En ze zijn zelfs gevaarlijker dan gemelde kwetsbaarheden omdat mensen onterecht op de veiligheid van het systeem vertrouwen. De leidraad voor responsible disclosure zou daarom naar mijn mening aangescherpt moeten worden. Onder meer door gebruik te maken van de ervaringen in de luchtvaart op dit gebied.