Afgelopen dinsdag 13 februari 2018 vond de vierde editie van de maandelijkse talkshow Hack Talk plaats waarbij er wordt gesproken over actualiteiten in de wereld van de cybersecurity. Het thema van Hack Talk #4 was ‘Next Gen Hackers’, oftewel de volgende generatie jonge hackers.

In Hack Talk #4 ‘Next Generation Hackers’ Deel 1 is besproken hoe de avond begon met voorbeelden van hoe het wel moet. Zo hackt de 15-jarige Jurre met toestemming zijn middelbare school om de schoolsystemen veiliger te maken, leren jongeren bij de Rotterdamse Cyberwerplaats ethisch hacken en krijgen scholieren les over hacken met het lesprogramma ‘Hack In The Class.’ Toch gaat het ook soms goed fout. Wat moet er gedaan worden als jongeren over de schreef gaan? Lees het tweede deel van Hack Talk #4 ‘Next Generation Hackers.’

De volgende generatie jonge hackers zijn handiger en bekwamer in het uitproberen, maken en breken van informatietechnologie. Deze jongeren blijven meestal ongezien, en komen pas aan het licht als het misgaat doordat een netwerk is platgelegd of een bedrijf is gehackt. Maar hoe kunnen deze jongeren aan de goede kant worden gehouden? Hoe kan duidelijk worden gemaakt waar de grenzen liggen? En wat kunnen bedrijven, leraren, ouders en verzorgers doen als ze toch de grens overgaan?

De rechtszaak

Om aan te tonen hoe complex cyberdelicten soms kunnen zijn, wordt er een korte rechtszaak nagespeeld waarbij het publiek mag oordelen en een (alternatieve) straf mag geven aan de jonge dader. De casus van de rechtszaak is gebaseerd op een zaak die een aantal jaar terug heeft gespeeld. Een korte schets van de casus: een 17-jarige hacker wilde als ethisch hacker aantonen dat het Groene Hart Ziekenhuis te Gouda niet goed beveiligd was. Na een aantal pogingen is het de jonge hacker gelukt om in de bestanden van het ziekenhuis te komen. Onder andere namen, adressen en BSN-nummers van patiënten en een aantal röntgenfoto’s van patiënten heeft de hacker buitgemaakt. De hacker zag het verkrijgen van deze bestanden als bewijs dat het ziekenhuis slecht beveiligd was. De hacker durfde echter niet zelf contact op te nemen met het ziekenhuis, waarna hij contact opnam met een journalist. Uiteindelijk bleek er enorm veel gevoelige ziekenhuisdata te zijn onttrokken aan het ziekenhuis en is de politie erbij gehaald. De hacker heeft uiteindelijk bekend het ziekenhuis te hebben gehackt, maar gaf aan dat dit vanuit een maatschappelijk gedachtegoed is gedaan.  

Na de toelichting van de casus mag een driekoppige publieksjury hun eindoordeel geven. De jury geeft aan dat ze begrijpen dat de hacker vanuit een ethisch oogpunt is begonnen te hacken, maar daarna wel te ver is gegaan. De jury vindt dat de hacker behoorlijk schuldig is, maar dat er wel verzachtende omstandigheden zijn waar rekening mee moet worden gehouden. Denk aan de leeftijd en het feit dat de hacker misschien niet goed wist waar hij mee bezig was. Als slotoordeel geeft de jury 120 uur taakstraf aan de hacker én zou de jury de hacker graag gekoppeld zien aan een ethische hacker zodat er kan worden geleerd wat wel en niet kan en waar de grenzen liggen.

De reactie van het Team High Tech Crime

Team High Tech Crime

Floor Jansen van het Team High Tech Crime van de Nederlandse Politie en Lisanne van Dijk van het Openbaar Ministerie vertellen vervolgens hoe de politie met dit soort zaken omgaat. Zij geven aan dat het oordeel van de publieksjury erg overeenkomt met de straf die ook daadwerkelijk zou worden opgelegd. Zo wordt er inderdaad rekening gehouden met verzachtende omstandigheden, zoals de leeftijd. De jonge hacker zou een taakstraf krijgen én ook een koppeling met een ethisch hacker: ‘om te voelen dat je een strafbaar feit hebt gepleegd en iets moet terugdoen aan de maatschappij.’ 

Floor en Lisanne vertellen dat de rechtszaak nog maar eens benadrukt dat het rondom cybercrime niet zo zwart/wit is. Het is vaak het geval dat een (jonge) dader iets met goede bedoelingen begint, maar daarbij wel over de schreef gaat. De vraag is of cyberdelicten anders zijn dan andere delicten. Lisanne en Floor geven aan dat de gevolgen vaak minder echt lijken bij cyberdelicten. Hackers kunnen lang hun gang gaan, waardoor ze zich voordat je het weet kunnen ontwikkelen van normale burgers tot criminelen. Het aantal cybercriminelen is nog steeds relatief laag, maar is er wel een stijgende lijn te zien. De politie gaat dan ook meer investeren op dit gebied. Zo heeft het Team High Tech Crime samen met het bedrijfsleven en de tech community een nieuwe alternatieve straf voor jonge cybercriminelen ontwikkeld, namelijk het traject HackRight.

Pilot traject HackRight

Het alternatieve traject HackRight bestaat uit een viertal modules. De eerste module ‘herstelrecht’ (ook wel ‘Luke’ genoemd als verwijzing naar Star Wars) gaat over de motieven achter de cybercrime. De cyberdelicten leiden tot veel schade, kosten geld en kunnen bijvoorbeeld ook voor een slachtoffer erg emotioneel zijn. De cybercriminelen worden binnen deze module geconfronteerd met de schade en eventueel zelfs met de slachtoffers.

De tweede module gaat over ‘training’ (Yoda): door training wordt er uitgelegd waar de grenzen op het internet liggen. De ‘Yoda’ die de training verzorgt kan een ethisch hacker zijn, maar ook een cyberexpert of iemand van het bedrijfsleven of het Openbaar Ministerie (OM).

Module drie ‘coaching’ (Obi Wan) vloeit eigenlijk voort uit de training module. Hierbij gaat het om het langer begeleiden van de jongeren waarbij hij of zij wordt gekoppeld aan iemand uit de community.

Met de laatste module ‘alternatief’ (Lea) wordt aangegeven wat de kansen op de arbeidsmarkt zijn en leren jongeren waar ze hun talenten kunnen ontwikkelen. Er wordt dus een ‘alternatief’ geboden aan de jongeren in de vorm van bijvoorbeeld een bepaalde challenge.

Het traject is net gestart. Halt en het OM hebben al een succesvolle pilot uitgevoerd. Tot slot geven Floor en Lisanne aan dat het traject wel plaatsvindt in combinatie met een (voorwaardelijke) straf. Wat betreft de jongeren die in aanmerking komen voor het traject wordt verder ook gekeken naar de ernst van het gepleegde delict als mede naar het technisch profiel van de jongeren.

‘100 jaar aan IT-ervaring’

De laatste sprekers van de avond zijn Edwin van Andel, Victor Gevers en Matthijs van Ommeren van de ‘Guild of the Grumpy Old Hackers’ (GGOH). Chris geeft aan dat deze mannen ‘100 jaar aan IT-ervaring’ hebben en cybersecurity op de agenda hebben gezet. De Guild of the Grumpy Old Hackers is een stichting waar oudere hackers jonge hackers helpen en begeleiden. Zo benaderen de GGOH de jonge hackers vaak zelf: ‘hoe eerder je ze kan bereiken, hoe eerder je ze op het goede pad kan trekken.’ Hackers worden namelijk makkelijk in criminele situaties gezogen. De leden van de GGOH geven aan dat er tegenwoordig al veel mooie initiatieven zijn om de ‘next generation’ op te voeden, maar dat er nog wel coördinatie ontbreekt. Ze willen toe naar een overkoepelende organisatie die naar buiten toe de verschillende losse initiatieven kan communiceren en kan samenwerken met meerdere instanties, maar ook met justitie en het OM. Ze benadrukken tenslotte dat de cybersecurity sector ingewikkeld is en dat er tegenwoordig ook veel experts naar boven komen die niet alles weten. Er moet dan ook voor worden gezorgd dat de communicatie naar alle partijen goed is, dat er wordt gezien dat hackers iedereen kunnen helpen en ‘best lief’ zijn. Uiteindelijk kan je ‘beter voorkomen dan genezen’ bij de next generation hackers.  

Chris sluit de avond af: “hackers zien dingen anders dan anderen en proberen net zo lang dingen totdat er iets gebeurt. Het is van belang dat we die jongeren aan onze kant houden: die creativiteit, die mensen hebben we nodig.”

Hackers zien dingen anders dan anderen

Na een vol programma waarbij een duidelijk beeld is geschetst van de kansen en risico’s wat betreft de nieuwe generatie jonge hackers, hebben we – naar mijn idee – genoeg handvatten gekregen om samen de jongeren aan de goede kant te houden.

De Hack Talk werd op eigen initiatief bijgewoond. Bij recensies, verslagen e.d. geldt dat bloggers hun eigen mening delen.