Opstelten wil dat organisaties geen aangifte doen als hackers met hun inbraak beveiligingproblemen aan de kaak stellen en zich aan regels houden. Hij heeft daarvoor een leidraad opgesteld, maar volgens hackers, juristen en veiligheidsdeskundigen is het nog maar de vraag of hackers zich hieraan gaan houden.

Eigen interpretatie
Dat heeft vooral te maken met de ruimte die de richtlijnen bieden voor eigen interpretatie, zegt Waalboer. "Het verschilt helaas per geval. Ook deze leidraad is niet één richtlijn die voor iedereen altijd geld. Het is de bedoeling dat bedrijven komen met hun eigen spelregels voor hackers. Dus aan welke regels wij zouden moeten voldoen is per organisatie die we zouden hacken compleet anders."

"Zelfs de geoorloofde technieken worden overgelaten over de specifieke organisatie. In de leidraad worden social engineering en brute forcing al bij voorbaat uitgesloten." Wederom als richtlijn, dus ook daar kan volgens Waalboer van worden afgeweken.

Klantgegevens
Juridisch adviseur Matthijs van Bergen van ICT recht legt uit wat het belang is van een heldere leidraad. "Als je een webwinkel hebt is het niet de bedoeling van het systeem dat een willekeurige bezoeker of buitenstaander toegang krijgt tot de klantgegevens. In het verleden is het wel eens gebeurd dat je door een getalletje in een url te veranderen toegang te krijgen tot bestellingsgegevens van anderen."

Een leidraad kan helpen om het kaf van het koren te scheiden. "Eerst wordt er een soort procedure voorgesteld waarmee bijvoorbeeld webaanbieders met veel klantgegevens een procedure kunnen openstellen voor ethisch hackers om te melden dat er iets mis is met de beveiliging. Dan wordt er capaciteit toegekend om meldingen te ontvangen en af te handelen én een bepaalde termijn om het lek te dichten."

Al met al blijft het lastig om 'goedaardige' hackers te onderscheiden van kwaadaardige, erkent ook Waalboer. "Ik kan ook niet zomaar zeggen: dit kan wel en dat kan niet, dat hangt van de omstandigheden af. Belangrijk criterium is of je geen andere mensen benadeelt door hun persoonsgegevens naar buiten te brengen."