Henk Krol, duidelijk 50Plus, want weet niet wat hacken is

Krols Donquichotterie is echt geen hacken.

'Henk Krol hackt het EPD en wordt gestraft', een in de media veelgelezen kop. Henk Krol als Don Quichot ten strijde trekkend tegen het onveilige elektronische patiëntendossier EPD. Als volleerd ethisch hacker toverde hij vele patiëntendossiers op het scherm voor de camera van Omroep Brabant. Henk Krol had zijn finest hour en Nederland was weer een EPD-schandaal rijker.

Luchtbel
Het was echter allemaal een farce. Mogelijk gemaakt door kritiekloze pers die feiten niet checkt en meegaat in de hysterie. Het is dan ook volkomen terecht dat Henk Krol inmiddels door de strafrechter is veroordeeld. Wat is er gebeurd?

Henk Krol krijgt van een tipgever een gebruikersnaam en wachtwoord om in te loggen op dit alleenstaande systeem van één enkele zorginstelling. Niets te maken dus met het bekende EPD. Iemand is slechts slordig omgegaan met (het instellen van) zijn wachtwoord. (Overigens was zijn “tipgever” een patiënt die de inloggegevens had afgeluisterd van een psychiater.) Vervolgens verschaft Krol zich toegang met dit gecompromitteerde wachtwoord tot het systeem en warempel het systeem werkt! Hij kan inderdaad (dat is de bedoeling van dat systeem) bij de patiëntengegevens van die instelling.

Nadat Krol zichzelf dus toegang tot het systeem had verschaft, had hij kunnen stoppen, maar een gelekt password is natuurlijk geen nieuws. Krol gaat verder en bekijkt medische gegevens en print deze uit. Nadat hij vervolgens niet onmiddellijk telefonisch contact kon krijgen met de directie van de zorginstelling, heeft hij Omroep Brabant gebeld en voor de camera van Omroep Brabant opnieuw ingelogd op het systeem en opnieuw medische gegevens van patiënten bekeken in aanwezigheid van de journalisten.

Scoringsdrift
Dit is geen hacken. Dit is het gecompromitteerde wachtwoord van een rechtmatige gebruiker misbruiken. Helaas is het een praktijk van alledag en niet alleen in medische systemen dat gebruikers slordig omgaan met gebruikersnamen en wachtwoorden. Dat dit een onwenselijke situatie is, akkoord. Dat je hiervan melding maakt als je hierover wordt geïnformeerd ligt, bravo! Maar om bewust een mediacircus op te starten ter meerdere eer en glorie van jezelf, gaat mij veel te ver.

Een kort berichtje aan de medische instelling met de mededeling dat er sprake was van een gecompromitteerd wachtwoord en dat het overigens getuigt van een slecht authenticatiebeleid om dergelijke korte gebruikersnamen/wachtwoorden te hanteren was ongetwijfeld voldoende geweest om deze instelling te laten ingrijpen. Maar dan had Krol natuurlijk geen openbare schouderklopjes gehad en de spotlights gemist. Hij is immers een stemmenmachine. Daarom de gang naar de pers en het opnieuw in aanwezigheid van journalisten benaderen van patiëntgegevens. En dat is nu net waar de Rechtbank hem op afrekent. Dit was disproportioneel en overbodig.

Strafbaar
Waar hacken normaal gesproken wordt gebruikt voor het met (digitale) kracht toegang forceren tot een systeem heeft Krol gewoon gebruikt gemaakt van een gelekt wachtwoord. Dit is geen hacken, dit noemen we falende authenticatie.  Hij heeft zich hiermee toegang verschaft tot een systeem van een ander en dat is computervredebreuk en dus strafbaar. Een terechte veroordeling en hopelijk een les voor de politicus Krol dat als je wilt scoren, je ook moet incasseren.