Waarom India een gat in de markt is voor internetveiligheid

Het nieuwe seizoen van CYBERWAR laat zien hoe online oorlog, offline net zo verwoestend is. Dit is geen science fiction, maar keiharde realiteit. CYBERWAR gaat langs bij hackende drugskartels, onderzoekt CIA-dodenlijsten en legt overheidsspionage bloot. KLIK HIER VOOR MEER INFO OVER CYBERWAR en kijk elke vrijdagavond om 21.00 uur naar VICELAND voor een nieuwe aflevering.

India heeft met zijn enorme aantal inwoners, relatief goede schoolsysteem, en voortdurende technologische ontwikkeling alle voorwaarden om een hack-supermacht te worden. De manier waarop dit land zich de komende jaren ontwikkelt, zal voor een belangrijk deel de internetveiligheid van de hele wereld bepalen.

In deze context vond afgelopen week de jaarlijkse securitybeurs Nullcon plaats in het Indiase Goa. Ook Edwin van Andel, van het Nederlandse ethische hackersplatform Zerocopter, was aanwezig om een presentatie te geven voor het Indiase technologiebedrijf Payatu.

Van Andel houdt zich al sinds 1992 bezig met het begeleiden van jonge hackers en het vertalen tussen hackers, overheid en bedrijven. Antrisksh Shah, oprichter van Pavatu, en de drijvende kracht achter Nullcon, nodigde hem uit om te vertellen over responsible disclosure: het op een verantwoordelijke wijze melden van kwetsbaarheden in informatiesystemen.

Motherboard sprak hem via Skype, vlak voordat hij het podium opging: "Ik ga zo vertellen hoe het Nederlands Openbaar Ministerie en het Nationaal Cyber Security Centrum (NCSC) omgaan met responsible disclosure, en wat India daarvan kan leren."

Van Andel en Shah. Foto's door Edwin van Andel

Want volgens hem is er nog een hoop te leren. Een van de belangrijkste obstakels voor ethisch hacken is dat er in India nog juridische consequenties zitten aan het melden van een veiligheidslek, zoals tot voor kort ook in Nederland het geval was.

Een responsible-disclosurebeleid is een juridische bescherming, bedoeld om de ethische hackers een stimulans te geven kwetsbaarheden te melden bij de overheid en admins - want hackers gaan natuurlijk niet graag naar een admin met een veiligheidslek als ze de kans lopen voor de rechter gedaagd te worden.

Zeker in een straatarm land als India is het cruciaal dat er snel een goed responsible-disclosurebeleid wordt opgezet, want hacken kan een belangrijke bron van inkomsten zijn. En als eenmaal bekend is dat crimineel hacken net zo riskant is als het melden van een veiligheidslek, maar veel meer geld oplevert, zullen veel mensen gemakkelijk de stap richting de criminaliteit zetten. Het stelen en doorverkopen van creditcardgegevens of andere cybercriminaliteit zal dan een nog veel groter probleem worden dan het al is.

Het zou bovendien doodzonde zijn als er niet wordt ingespeeld op de Indiase hackersmarkt, zegt van Andel: "Ik wil scriptkiddies die nog niet zo goed kunnen hacken opleiden tot goede, ethische hackers en ik wil iedereen laten zien dat je ook geld kunt verdienen met ethisch hacken." Daar blijkt absoluut interesse in te zijn, want er komen zeker duizend man op zijn lezing af.

Het is een meevaller dat veel van de aanwezige hackers Engels spreken. "Ik hoor nu net dat het OM vandaag de Responsible Disclosure Guideline naar het Engels heeft vertaald," vertelt Van Andel. "Ik kan dus straks de bedrijven, overheden en securitybedrijven in de zaal hier direct doorverwijzen naar die guidelines, zodat ze daar al meteen gebruik van kunnen maken."

Pas aan het einde van ons gesprek verklapt hij waar hij zich echt druk over maakt; van Andel heeft berekend hoeveel 'goede' hackers er tegenover 'kwade' hackers moeten staan om het internet veilig te houden voor gebruikers met behulp van een paar statistieken over de motieven van hackers. "Hackers handelen voor ongeveer 5 procent uit eer, 30 procent uit spionage, en 15 procent uit activisme. Tien procent zijn scriptkids, en 40 procent wil alleen geld. Door die 10 procent op te leiden, en de bounties groot genoeg te maken dat de 40 procent niet naar de criminele hoek meer hoeft, heb je samen met de 5 procent eer 55 procent in de goeie hoek."

Van Andel geeft toe dat het een utopisch idee is, want alleen een goed responsible-disclosurebeleid zoals in Nederland is lang niet genoeg om het web veilig te houden, maar het is een stap richting zijn doel: "De realiteit is dat het gewoon nodig is om meer goede hackers dan slechte hackers te kweken om het internet veilig te houden. Als we 55 procent ethische hackers op het internet willen hebben, dan moet je die groeimarkten zoals India nu aanspreken."