Dit is waarom ik mijn rechtenstudenten leer hoe ze moeten hacken.

In films kun je de beste hackers herkennen aan hoe ze typen. Hoe sneller ze typen, hoe gevaarlijker ze zijn. Hacken wordt afgeschilderd als een technisch hoogstandje, een typisch technologisch fenomeen.
Deze indruk van high-tech tovenarij dringt niet alleen door in onze populaire cultuur, maar ook in onze werkelijke pogingen om cybercrime te bestrijden. Als cybercriminaliteit een geavanceerde high-tech prestatie is, nemen we aan dat de oplossing dat ook moet zijn. Cyberbeveiligingsbedrijven hameren op eigen instrumenten zoals firewalls van de volgende generatie, anti-malware software en inbraakdetectiesystemen. Beleidsdeskundigen als John Ratcliffe, een voormalig directeur van de nationale inlichtingendienst, dringen erop aan dat wij overheidsmiddelen investeren in een enorm duur “cyber Manhattan Project” dat onze digitale capaciteiten zal opvoeren.
Maar dit hele concept is misplaatst. De principes van de computerwetenschap dicteren dat er harde, inherente grenzen zijn aan hoeveel technologie kan helpen. Ja, het kan hacken moeilijker maken, maar het kan het onmogelijk, zelfs in theorie, stoppen. Bovendien laat de geschiedenis van hacken zien dat de zwakke plekken die hackers uitbuiten even vaak menselijk als technisch van aard zijn – niet alleen de cognitieve eigenaardigheden die gedragseconomen hebben ontdekt, maar ook ouderwetse ondeugden als hebzucht en luiheid.
Om zeker te zijn, moet je twee-factor authenticatie inschakelen en die software updates installeren die je hebt uitgesteld. Maar veel van de bedreigingen waarmee we geconfronteerd worden, zijn geworteld in de aard van menselijk en groepsgedrag. De oplossingen zullen ook sociaal moeten zijn – programma’s om banen te scheppen, hervorming van de aansprakelijkheid voor software, regulering van cryptocurrency en dergelijke.
De afgelopen vier jaar heb ik op de Yale Law School les gegeven in cybersecurity, waarbij ik mijn studenten laat zien hoe ze in computers kunnen inbreken. Opgegroeid met een gebruiksvriendelijk web, hebben mijn studenten meestal geen echt idee hoe het internet of computers werken. Ze zijn verrast hoe gemakkelijk ze leren hacken en hoe leuk ze het vinden. (Ik ook, en ik hackte pas een computer toen ik 52 was.) Aan het eind van het semester kraken ze wachtwoorden, klonen ze websites en laten ze servers crashen.
Waarom leer ik idealistische jongeren hoe ze een leven van cybercriminaliteit kunnen leiden? Veel van mijn studenten zullen carrière maken bij de overheid of bij advocatenkantoren die grote technologiebedrijven als klant hebben. Ik wil dat deze advocaten in de dop de problemen van hun cliënten begrijpen. Maar mijn grotere doel is om technische expertise op zijn plaats te zetten: Ik wil dat mijn studenten zich realiseren dat technologie alleen niet genoeg is om de problemen op te lossen waarmee we geconfronteerd worden.
Ik begin mijn les met het uitleggen van het fundamentele principe van moderne informatica: het onderscheid tussen code en data. Code is een reeks instructies: “voeg toe,” “print mijn CV,” “sluit de deur.” Gegevens zijn informatie. Gegevens worden meestal weergegeven door getallen (de temperatuur is 80 graden), code door woorden (“add”). Maar in 1936 ontdekte de Britse wiskundige Alan Turing dat code ook door getallen kon worden weergegeven. Turing kon inderdaad laten zien hoe je zowel code als data kunt weergeven met alleen enen en nullen – zogenaamde binaire strings.
Dit baanbrekende inzicht maakt moderne computers mogelijk. We hoeven onze computers niet opnieuw te bouwen voor elk nieuw programma. We kunnen onze apparaten elke gewenste code als binaire strings geven en dat programma uitvoeren. Dat nullen en enen zowel code als gegevens kunnen weergeven is echter een zegen en een vloek, want het stelt hackers in staat om computers die gegevens verwachten te misleiden om in plaats daarvan kwaadaardige code te accepteren en uit te voeren.
Neem een eenvoudige hack die ik mijn studenten leer. Een aanvaller stuurt een e-mail met een bestand als bijlage. Omdat het bestand een “.txt” extensie heeft, nemen we aan dat het een tekstbestand is – dat wil zeggen, gegevens – misschien een boodschappenlijstje of cijfers voor een eindexamen. Maar wanneer we het bestand openen, zal het besturingssysteem niet alleen de gegevens naar het scherm sturen, maar ook de kwaadaardige code uitvoeren die de hacker heimelijk heeft ingesloten, waardoor hij de controle over uw computer kan overnemen.
U kunt beveiligingssoftware installeren om dit risico te verkleinen. Maar om het risico te elimineren, zou je moeten voorkomen dat computers binaire getallen behandelen als zowel code als data – wat zou betekenen dat ze geen moderne computers meer zijn.
Het goede nieuws is dat er veelbelovende manieren zijn om de menselijke dimensies van het probleem aan te pakken – dat wil zeggen de sociale, economische en psychologische aspecten. Het slechte nieuws is dat we er grotendeels niet in geslaagd zijn deze na te streven.
Denk aan wettelijke aansprakelijkheid. De wet biedt weinig stimulansen voor software-ontwikkelaars om betere, veiligere code te schrijven. De wet legt zelden aanzienlijke boetes op voor datalekken, wat betekent dat techbedrijven geen financiële motivatie hebben om beveiliging serieus te nemen. Het gemiddelde Amerikaanse bedrijf besteedt 10 procent aan IT, waarvan 24 procent aan beveiliging. Dat is ruwweg 2 procent bestemd voor de bescherming van activiteiten waarvan bedrijven terecht begrijpen dat ze essentieel zijn voor hun activiteiten.
We kunnen die zakelijke calculus veranderen. We zouden bijvoorbeeld softwarebedrijven financieel verantwoordelijk moeten stellen voor het onzorgvuldig bouwen van onveilige software, een voorstel dat onlangs is goedgekeurd door de Nationale Cyberbeveiligingsstrategie van president Biden. In plaats van geld uit te geven aan particuliere bedrijven om slechte technologie te repareren, zouden wetgevers hen moeten overhalen om goede technologie te produceren.
We kunnen ook hackers zelf helpen. Hackers worden vaak gezien als briljante ontevreden jonge mannen die in de kelders van hun ouders wonen en vernielingen aanrichten voor de lol. De waarheid is meer bekend. Cybercriminelen zijn er over het algemeen op uit om hun brood te verdienen – vaak bij gebrek aan legitieme manieren om hun vaardigheden te gebruiken.
Omleidingsprogramma’s in Groot-Brittannië en Nederland organiseren hackingwedstrijden waarbij teams van programmeurs concurreren om een doelnetwerk te hacken; deze programma’s proberen ook programmeurs te koppelen aan ouder beveiligingspersoneel om als mentor op te treden en hun leerlingen de weg te wijzen naar de legale cyberbeveiligingsindustrie. Met naar schatting 3,5 miljoen onvervulde banen wereldwijd, is één minder aanvaller één meer broodnodige verdediger.
Tegen het einde van het semester behandelt mijn klas cryptocurrency, het “geld” dat favoriet is bij cybercriminelen. Het openen van een cryptocurrency rekening zou hetzelfde moeten zijn als een bankrekening: Klanten zouden hun sofi-nummer, door de overheid uitgegeven identificatie en andere persoonlijke identificatiegegevens moeten opgeven. Hoewel de Amerikaanse wet vereist dat de meeste cryptocurrency-bedrijven zich aan dergelijke openbaarmakingsregels houden, worden bepaalde makelaars vrijgesteld van het verzamelen van deze informatie – en cybercriminelen maken graag gebruik van die makelaars om aan opsporing te ontsnappen.
Uitzoeken hoe hacken werkt is het makkelijke deel. Uitzoeken hoe mensen werken, en wat we eraan moeten doen, is het moeilijke gedeelte. En zelfs als we het goed doen, moeten we onthouden dat noch technologie noch regelgeving een wondermiddel is. In de 21e eeuw is cybercriminaliteit steeds meer gewoon misdaad – en er is geen manier om een einde te maken aan die meest menselijke storing.
Scott J. Shapiro (@scottjshapiro) is hoogleraar recht en filosofie aan de Yale Law School en directeur van het Yale Cybersecurity Lab. Hij is de auteur van het binnenkort te verschijnen boek “Fancy Bear Goes Phishing: The Dark History of the Information Age, in Five Extraordinary Hacks”, waaraan dit essay is ontleend.
The Times is toegewijd aan het publiceren van een verscheidenheid aan brieven aan de redacteur. We horen graag wat u van deze of andere artikelen vindt. Hier zijn enkele tips. En hier is onze e-mail: letters@nytimes.com.
Volg The New York Times Opinie sectie op Facebook, Twitter (@NYTopinion) en Instagram.

Internet blabla, probeert de beste cyber security content op het internet te verzamelen en in een overzichtelijk geheel te presenteren. Er zijn meerdere artikelen die aangeleverd worden door lezers en cyber security bedrijven, daarnaast zijn er een aantal bloggers en journalisten actief met het plaatsen van actuele cyber security vraagstukken.