Hold Security is een Amerikaans commercieel bedrijf en zij heeft een grote dataset van toegangsgegevens opgekocht die op ondergrondse illegale fora rondzwierven. In augustus 2014 verkreeg ons NCSC ook deze gegevens van Hold Security om te bepalen of en waar digitaal Nederland kwetsbaar was; het bleek dat er 5600 Nederlandse websites kwetsbaar waren voor SQL injection en dat er ook via deze websites 1,3 miljoen Nederlandse emailadressen met wachtwoorden waren verzameld.

NCSC

Het cybercentrum NCSC moest toen natuurlijk wel onderzoeken of onze digitale kwetsbaar is geweest. Terecht, denk ik. Hoewel de impact van de gehackte informatie nihil bleek voor de vitale infrastructuur in Nederland, is in september 2014 nog wel een gecoördineerde actie gestart met onder meer domeinregistrar SIDN om 5600 website eigenaren te informeren en diverse ISP's om 1,3 miljoen .nl-emailadres eigenaren per brief te informeren. In de brief natuurlijk het advies om je wachtwoord van je emailadres te veranderen. Echter, in de brief wordt niet gemeld dat dit wachtwoord ook misbruikt kan worden voor toegang tot een andere online dienst waar je misschien hetzelfde wachtwoord gebruikt. Je zakelijke email en/of lidmaatschap bij een webshop kan dan gemakkelijk gehackt worden; alleen een voor de hand liggend emailadres als gebruikersnaam moet dan nog achterhaald worden door hackers.

Omdat het NCSC aangeeft dat er nauwelijks impact is op de vitale infrastructuur in Nederland, concludeer ik dat het gaat om 5600 .nl-websites in het bedrijfsleven die inactief en/of onvoldoende beschermd zijn. Professionele websites zoals bol.com of ah.nl zullen er dus ook niet bij zitten, maar wel de websites van de lokale voetbalvereniging, de handwerkclub en/of de backend van vlotte nieuwe apps. Wellicht zijn kwetsbaarheden in WordPress of Joomla gebruikt om die websites te hacken. Strafbaar, maar ogenschijnlijk met relatief weinig impact. Toch is dit kwetsbaar voor de vitale digitale infrastructuur van Nederland. Als je het wachtwoord komt te weten van de directeur van een multinational via zo’n onschuldige website, dan kan je vaak ook bij zijn zakelijke webmail.

Dataheling?

Een Russische botnet crawler die wereldwijd kwetsbare 'onbelangrijke' websites hackt om 1,4 miljard emailadressen en wachtwoorden te verzamelen, is illegaal en strafbaar. Deze hackers hebben als doel om geld te verdienen aan de verkoop van vertrouwelijke gegevens. De vraag is of de aanstichters zich iets aantrekken van de Wet Computercriminaliteit in Nederland en of ze ooit internationaal vervolgd gaan worden is ook maar de vraag (door wie dan?). Dit soort gezwellen op internet zijn blijvertjes, net als kwetsbare websites. 

Een commercieel bedrijf als Hold Security koopt de illegaal verkregen informatie op. Deze koop is net zo strafbaar als het hacken van de websites zelf. Hoewel Hold Security de data hoogstwaarschijnlijk niet misbruikt om toegang te krijgen tot websites of email van slachtoffers, gebruikt Hold Security de data wel voor extra publiciteit. Dit is ook een ongewenste doelbinding in relatie tot de data. Vervolgens wordt deze informatie van Hold Security aangeboden aan het NCSC. Omdat het NCSC als doel heeft de vitale infrastructuur in Nederland te beschermen, denk ik dat het rechtvaardig is dat het NCSC deze informatie mag gebruiken om die dreiging te beoordelen. Echter, als het doel van een organisatie niet is vastgelegd en/of valide is in relatie tot de data, hoe zit het dan? Geeft Hold Security deze informatie namelijk aan een willekeurige derde, dan is dat dataheling. Je kunt je afvragen of het dan nog relevant is of er dan betaald is voor de informatie. Volgens mij is deze situatie rond dataheling vergelijkbaar met de typische Nederlandse problematiek van fietsendiefstal. Als iemand je fiets pikt en na gebruik gratis weggeeft of verkoopt aan een ander, dan is zowel de nieuwe eigenaar als de oorspronkelijke dief strafbaar. Ik vraag mij hoe de Wet Computercriminaliteit dit soort internationale problematiek adresseert en/of doelbinding gebruikt wordt om dataheling wel of niet toe te staan.

Andere bekende voorbeelden rondom dataheling zijn: Snowden met publicatie NSA data, Manning met lekken van militaire en politieke documenten naar Wikileaks, ex-bankmedewerker die geheime Zwitserse bankrekeningen verkoopt aan de Belastingdienst in Duitsland. De ex-bankmedewerker is bij mijn weten nooit gestraft, maar heeft geld gekregen van de Duitse Belastingdienst. Deze voorbeelden verschillen van de Hold Security Case omdat het om ex-medewerkers gaat. Beleid en gedragscode maken het mogelijk voor bedrijven om ex-medewerkers die bedrijfsdata verhandelen, te vervolgen. Bij hackers werkt dit niet en is de pakkans nihil.