28 sep
ThreadStone Cyber Security doet haalbaarheidsstudie dankzij MIT subsidie van de provincie. Alle websites in Nederland zomaar scannen: mag dat?
Alle websites in Nederland vanuit één centraal punt scannen op kwetsbaarheden. Kan dat en mag dat ook? ThreadStone Cyber Security www.threadstone.eu, gevestigd op de The Hague Security Delta, heeft van de provincie Zuid-Holland een MIT-subsidie gekregen om te kijken of dit technisch én juridisch mogelijk is.
‘De missie van ThreadStone Cyber Security is om het internet veiliger te maken’
De missie van ThreadStone Cyber Security is om het internet veiliger te maken, met behulp van laagdrempelige diensten, variërend van vulnerability scans en hacktests tot phishing-campagnes. ‘In 2018 hebben we voor het eerst onderzoek laten doen door de Universiteit Eindhoven en Universiteit Delft naar de financiële haalbaarheid van het scannen van alle websites in Nederland. Hieruit kwam dater verschillende verdienmodellen mogelijk zijn. In mei 2021 kregen we een aanvullende MIT-subsidie van de provincie Zuid-Holland (MIT staat voor Mkb-innovatiestimulering Regio en Topsectoren, red). Die gaan we gebruiken om de juridische en technische haalbaarheid verder te onderzoeken.’
Basisniveau controleren
De technische kant laten we even voor wat die is: vooral de juridische kant is interessant. ‘Want je mag niet zomaar websites scannen,’ aldus Van Etten. ‘Wij willen kijken of het wel zou kunnen om zonder toestemming een bepaald basisniveau te controleren. Vergelijk het met een pand dat gevestigd is aan de straat. Daarvan zie je aan de buitenkant of je zo naar binnen kunt lopen. Met websites is dat ook zo. Je kunt ook tegen een raam duwen om te kijken of dat open kan. Maar mag dat, hoe hard mag je duwen en vanaf welk punt ben je strafbaar? Of had de eigenaar van het pand ervoor moeten zorgen dat je niet op dat raam kan duwen? De grens van computervredebreuk is niet heel scherp. Sommige bedrijven hebben een responsible disclosure op hun website staan. Zo’n disclosure zegt dat bezoekers of gebruikers van een website kunnen melden als zij een kwetsbaarheid in de website ontdekken. Ook staat daarin hoe hard je als buitenstaander op een raam mag kloppen en wanneer er aangifte wordt gedaan. Maar in de praktijk komen wij dat nog weinig tegen. Veel bedrijven kennen deze mogelijkheid niet.’
Alle input is welkom
Inmiddels is het onderzoeksproject gestart. ‘We maken een technisch platform waarmee we nog niets gaan uitvragen. Wij gaan dus in dit stadium niet zelf op het raam kloppen. Wel gaan we openbare bronnen op het internet raadplegen om te kijken wat we aan mogelijke kwetsbaarheden kunnen vinden. Om de vergelijking door te trekken met het pand aan de straat: we gebruiken Google Street View om te kijken of er iets open staat of er krakkemikkig uitziet. Gefaseerd gaan we vervolgens stapje voor stapje onderzoeken hoe ver we hierin kunnen gaan en wat dat oplevert. Er zijn juristen die met ons meekijken, maar andere input is welkom. Bijvoorbeeld van deskundigen die bij Leiden Law Park zijn aangesloten en willen meedenken over de ethische en de juridische kant van dit project.’ ThreadStone levert de technologie, maar uiteindelijk zou het de bedoeling zijn dat een onafhankelijke partij de scans – als die haalbaar blijken – gaat leveren. ‘Wij denken daarbij aan een partij zoals het NCSC, het DTC of de Kamer van Koophandel. Dat vergroot de kans dat er ook echt iets wordt gedaan met de uitkomsten van zo’n scan. In onze optiek moet de aanlevering van een dergelijke rapportage juist géén commerciële insteek hebben en volledig transparant en belangeloos worden geleverd aan organisaties in Nederland.’
‘Broeikas’ HSD
Op de The Hague Security Delta, kortweg de HSD, is veel expertise aanwezig. ‘Onze campus is gestart als initiatief van de gemeente Den Haag in samenwerking met kennisinstellingen en het bedrijfsleven. In 2014 hebben wij het HSD Stimuleringsfonds gewonnen, waarmee we ThreadStone hebben kunnen opzetten. Een van de eerste projecten waaraan wij hebben meegewerkt was Veilig Zakelijk Internetten, samen met onder andere MKB Nederland, de Haagse Hogeschool en TNO. De HSD is een prachtig voorbeeld van een innoverende samenwerking tussen toegepaste wetenschap, overheid en bedrijfsleven. Wat dat betreft zie ik een duidelijke parallel tussen de HSD en Leiden Law Park. Wie interesse heeft, geef ik hier graag een keer een rondleiding!’ Wie meer wil weten of een rondleiding wil op de HSD: laat een reactie achter op dit artikel.