Hacktivisme: vreedzaam protest of immorele cybercrime?
Demonstraties voor verandering
Er spelen tegenwoordig de nodige politieke en maatschappelijke kwesties die, met de uitgebreide media-aandacht, steeds meer sociale discussies op gang brengen en mensen motiveren hun mening hierover uit te spreken. Voorbeelden hiervan zijn discussies rondom internationale conflicten – de oorlog in Oekraïne en Gaza als voornaamste voorbeelden – of maatschappelijke thema’s als klimaatverandering en migratie. In sommige gevallen besluiten mensen zelfs actie te ondernemen en te demonstreren om aandacht te vragen voor hun zaak. Denk hierbij aan de toenemende pro-Palestina demonstraties en klimaatprotesten.
Deze ontwikkeling zet zich ook in het cyberdomein voort in de vorm van hacktivisme. Dit is, zoals de naam al zegt, een combinatie van hacken en activisme. Hoewel er geen officieel erkende definitie en criteria zijn om te omschrijven wanneer iets als hacktivisme beschouwd wordt, is de meest gangbare omschrijving: een vorm van hacken om een politiek of sociaal doel te bereiken.
Gezien de vele maatschappelijke discussies die tegenwoordig spelen, is het aannemelijk dat deze vorm van digitaal actievoeren de komende periode zal toenemen. Toch bestaat hacktivisme al zo lang als het internet – en daarmee hacken – bestaat. Zo zijn er talloze voorbeelden van hacktivisten die ideologisch en politiek gemotiveerde aanvallen uitvoerden. Denk hierbij aan hackers die tijdens de Arabische lente DDoS aanvallen uitvoerden op websites van de overheden of burgers uit de betrokken landen weer toegang gaven tot geblokkeerde websites. Een ander voorbeeld zijn de acties van hackergroep Anonymous tegen terreurorganisatie IS. Deze hackers dwarsboomden de groep door hun websites neer te halen, X-accounts (voorheen Twitter) te hacken of jihadistische forums te infiltreren.
De meeste mensen zullen geen bezwaren tegen deze acties hebben, aangezien het onderscheid tussen ‘goed’ en ‘fout’ duidelijk is: de hackers voeren actie voor een nobel doel en zijn daarmee (nagenoeg) geen gewone burgers tot last. Toch zijn er ook talloze voorbeelden waar dit onderscheid vertroebeld raakt. Wat als je het niet eens bent met de motieven van de hackers? Of als de gevolgen van een hack of ander online protest vooral reguliere burgers treffen? Moet hacktivisme dan nog steeds gezien worden als ethisch verantwoorde manier van vreedzaam protesteren of spreken we dan van cybercrime? Waar ligt hiervoor de grens en wie bepaalt die grens? In deze blog zet ik vanuit mijn persoonlijke visie een aantal overwegingen neer om dit vraagstuk te beantwoorden.
Intentie en motivatie
Het eerste en meest voor de hand liggende criterium is de intentie die de hackers hebben. Om te spreken van hacktivisme, moet er logischerwijs een activistisch element in een actie van een hacker zitten. Er moet dus de intentie zijn om een bepaalde sociale of politieke boodschap te verspreiden en aandacht te vragen voor een (in de ogen van de hacker) goed doel . Wanneer een hacker handelt met de intentie geld te verdienen, schade aan te richten of op andere wijze persoonlijk gewin nastreeft, kan in mijn ogen niet meer gesproken worden van hacktivisme.
Doelwit en methoden
Als tweede criterium kijken we naar het doelwit van de hacker. Als hacktivisme als ethisch protest gezien moet worden, lijkt het mij belangrijk dat reguliere burgers niet het voornaamste doelwit zijn. Een aanval op een website van een overheid of een bedrijf vind ik bijvoorbeeld moreel makkelijker te verantwoorden dan een hack waarbij persoonlijke gegevens van mensen op straat komen te liggen of geld gestolen wordt. Daarbij is ook de methode belangrijk: een website hacken om er een boodschap of oproep op te plaatsen, of deze website (tijdelijk) offline halen, is in mijn ogen ethischer dan bijvoorbeeld phishing- of ransomware-aanval (waarbij om donaties aan een (in de ogen van de hacker) goed doel gevraagd worden). Dit laatste zal namelijk meer tijd, geld en energie vergen om ongedaan te maken dan de eerdere voorbeelden. Dat maakt een mooi bruggetje naar het volgende criterium: de impact van een actie.
Impact
In mijn ogen is het cruciaal dat een hackivistische actie geen langdurige nadelige gevolgen heeft voor het doelwit. De impact moet dus tijdelijk zijn: gehackte websites of accounts moeten ook weer vrijgegeven worden en er mag geen (grote) financiële of immateriële schade door ontstaan. Tegelijkertijd kunnen hacktivisten claimen dat een hack met een grote impact meer aandacht op hun boodschap zal vestigen. Het roept een interessante vraag op: heiligt het doel te allen tijde de middelen? Wanneer wegen de nadelige gevolgen niet meer op tegen de mogelijk positieve impact? Een vergelijkbare discussie speelt zich ook af bij traditionele vormen van protest. Demonstranten vinden vaak een bepaalde mate van maatschappelijke ontwrichting gegrond om aandacht voor hun doel te vragen, terwijl tegenstanders dit als illegaal, onrechtmatig of onethisch zien. Een mooi voorbeeld zijn de blokkades van snelwegen door klimaatdemonstranten. Deze discussie kan dus ook in het cyberdomein gevoerd worden, zonder dat hier een eenduidig ‘juist’ antwoord op is.
Conclusie
Demonstraties en protesten horen tegenwoordig bijna bij de orde van de dag. Ik voorspel dat deze ontwikkeling zich ook steeds vaker zal verplaatsen naar het cyberdomein in de vorm van hacktivisme. Deze vorm van actievoeren kan gezien worden als illegale cybercriminaliteit of als een vorm van vreedzaam en moreel verantwoord protest. In deze blog heb ik een aantal criteria uiteengezet om te bepalen wanneer iets (in mijn ogen) gezien mag worden als moreel verantwoord protest: de acties moeten uitgevoerd worden met een maatschappelijk en sociaal doel voor ogen, zonder persoonlijk gewin voor de hacker; reguliere burgers mogen niet het voornaamste doelwit zijn; en de impact van een hack moet tijdelijk en proportioneel zijn.
Toch blijft deze discussie nooit zo zwart-wit en is het onmogelijk om elke vorm van hacktivisme te categoriseren als volledig ethisch of onethisch. Demonstraties en protesten, zowel offline als online, schuren wel vaker met de wet, wat demonstranten meestal voor lief nemen en soms zelfs als noodzakelijk zien om sociale verandering voort te brengen. Daarom zal hacktivisme blijven bestaan als protestvorm, wat jouw persoonlijke mening ook is.
Hacktivisme kan dus een daadwerkelijk onderdeel van jouw dreigingslandschap zijn en daarmee onderdeel van jouw strategie om risico’s te beheersen. Ben je om die reden benieuwd hoe je je als organisatie zou kunnen voorbereiden op dergelijke scenario’s dan staan we je graag bij.