Gehackte organisaties zijn geen zeldzaamheid meer en duidelijk is dat iedere organisatie doelwit kan zijn van hackers. Maar waar doen de hackers het eigenlijk voor?
Wanneer het gaat over de motivaties van hackers komen geregeld termen voorbij als geld, nieuwsgierigheid en spanning. Bij de bespreking van dergelijke motivaties ontbreekt het echter vaak aan theoretische onderbouwing en empirisch onderzoek. Het onderzoek dat hier besproken wordt, probeert daar verandering in te brengen.
Een hacker is iemand die heeft geprobeerd computerbeveiligingssystemen te omzeilen
In dit onderzoek is een vragenlijst voorgelegd aan 65 hackers met een gemiddelde leeftijd van 27,5 jaar, waarbij de jongste 19 en de oudste 49 is. ‘Hacker’ is hier gedefinieerd als iemand die heeft geprobeerd computerbeveiligingssystemen zonder toestemming te omzeilen.
Op de vraag hoe vaak zij beveiligingssystemen van organisatieservers hadden omzeild, antwoordde 68 procent met “minimaal één keer”. Verder gaf 29 procent aan zich “minimaal één keer” te hebben ingelaten met ‘hacktivisme’ (hacking activisme).
In de vragenlijst stonden ook vragen over frequent genoemde motivaties als nieuwsgierigheid, teamplay en gerechtigheid, en over motiverende waarden. Deze motiverende waarden vormen het hoofdonderzoek. Hoe deze terug te vinden zijn in de literatuur over hackers wordt hieronder besproken.
Motiverende waarden
In 1987 stelden Schwartz en Bilsky dat menselijk gedrag in principe gedreven wordt door drie universele behoeften: het overleven van het individu, interpersoonlijke coördinatie en het overleven van de groep. Deze behoeften kunnen worden vertaald naar waarden. Een voorbeeld: interpersoonlijke coördinatie kan worden vertaald naar een streven naar gelijkheid, en het overleven van de groep kan worden vertaald naar nationale veiligheid.
Na flink wat onderzoek in meer dan twintig landen stelde Schwartz dat de meeste waarden te herleiden zijn tot tien kernwaarden. Voorbeelden van kernwaarden zijn macht, autonomie en traditie. De tien kernwaarden heeft hij vervolgens ondergebracht in vier dimensies: vooruitstrevendheid, behoudendheid, zelfverrijking en zelfoverstijging. In onderstaande figuur zijn de tien kernwaarden en de vier dimensies schematisch weergegeven.
Nieuwsgierige hackers jagen plezier na
Vooruitstrevendheid is bij hackers vooral terug te vinden als nieuwsgierigheid en uitdaging. Kevin Mitnick, ooit ‘most wanted’ bij de FBI zegt: “It was just from the gain of knowledge and the thrill of adventure, nothing that was well and truly sinister as trying to get any type of monetary gain or anything.” Eric Raymond, een van de auteurs van The Hacker’s Dictionary, legt uit dat hackers soms grote hoeveelheden technische informatie tot zich nemen uit pure interesse, zonder dat het direct ergens nuttig voor is.
Voor de hackers in het onderzoek was nieuwsgierigheid veruit de sterkste motivatie om te hacken
Het samengaan van nieuwsgierigheid en plezier kan resulteren in Csikszentmihalyi’s (1975) concept van ‘flow’. Flow is een staat waarin je plezier, controle en bekwaamheid ervaart en de tijd voorbij vliegt. Flow ervaar je bijvoorbeeld wanneer je uren achtereen Mario speelt en ondertussen vergeet dat je honger hebt. In eerder onderzoek werd gevonden dat hackers die hacken uit nieuwsgierigheid, meer flow ondervinden tijdens het hacken dan hackers die de gehackte computersystemen ook graag beschadigen. Voor de hackers in het huidige onderzoek was nieuwsgierigheid veruit de sterkste motivatie om te hacken.
Hackers scoren laag op behoudendheid
Tegenover de dimensie vooruitstrevendheid staat de dimensie behoudendheid. Kernwaarden uit deze dimensie zijn traditie, conformisme en veiligheid. Deze waarden lijken op het eerste gezicht niet van toepassing op hackers omdat zij beveiligingssystemen juist proberen te doorbreken. Traditie en conformisme lijken bovendien haaks te staan op een wereld van snelle technologische veranderingen. Uit het huidige onderzoek blijkt dan ook dat hoe vaker hackers computersystemen omzeilen, hoe lager zij scoren op behoudendheid.
‘Hacker-ethiek’ en moraalridders
Zoals de dimensies vooruitstrevendheid en behoudendheid tegenover elkaar staan, zo staan ook de dimensies zelfverrijking en zelfoverstijging tegenover elkaar. Typisch zelfoverstijgende waarden zijn ruimdenkendheid, behulpzaamheid en esthetiek. Zelfoverstijgende waarden komen duidelijk terug in de ‘hacker-ethiek’ die Levy (2010) destilleerde uit zijn interviews met hackers. De hacker-ethiek stelt onder andere dat informatie vrij toegankelijk moet zijn en dat mensen beoordeeld moeten worden op hun kwaliteiten in plaats van criteria als geslacht en etniciteit.
Zelfoverstijgende waarden als gelijkheid en rechtvaardigheid lijken kenmerkend te zijn voor hacktivisten. Hacktivisten kunnen verschillende concrete doelen hebben. Zo heeft het online activistencollectief Anonymous actie gevoerd tijdens de Arabische Lente, maar ook tegen bedrijven die digitale piraterij en WikiLeaks wilden dwarsbomen. Hacktivisten richtten hun pijlen ook op organisaties die nucleaire wapens ontwikkelden, pedofilie verheerlijkten, aan massasurveillance doen, en ga zo maar door.
Ongelijkheid bestrijden is vaak achterliggend doel van hackers
Vaak is het achterliggende doel van hacktivisme ongelijkheid bestrijden. Phineas Fisher, de hacker die Hacking Team hackte en meer dan tienduizend euro doneerde aan Koerden die tegen IS strijden, zegt in zijn ‘DIY hacking guide’: “Hacking gives the underdog a chance to fight and win.” Niet voor niets worden hacktivisten vaak Robin Hoods genoemd in de media.
Respect verdienen van de buitenwereld
Dergelijke berichtgeving voedt ook zelfverrijkende waarden als succes en aanzien. Met hun acties kunnen hackers respect verdienen van de buitenwereld en van andere hackers. Dat status een ding is onder hackers bevestigt een van de softwarekrakers tegen Goode en Cruise (2006): “I have a somewhat ‘high’ status in a sense, as I am real popular amongst my fellow crackers”. Met het kenbaar maken van kwetsbaarheden die ze hebben gevonden in computersystemen bewijzen ze bovendien hun superioriteit over degenen die het systeem beheren of hebben gebouwd.
Aanzien en team-play
Aanzien en team-play zijn in het huidige onderzoek inderdaad gerelateerd aan hoe vaak iemand computersystemen binnendringt: hoe sterker hackers gemotiveerd worden door aanzien, hoe vaker zij pogen computersystemen binnen te dringen, en hoe sterker zij gemotiveerd worden door team-play, hoe vaker zij daadwerkelijk computersystemen binnendringen.
Voor hacktivisten specifiek kwam naar voren dat zij sterker gemotiveerd worden door gerechtigheid naarmate zij vaker computerbeveiligingssystemen binnendringen. De resultaten suggereerden echter ook dat de kans dat iemand zich inlaat met hacktivisme stijgt wanneer diegene relatief hoger scoort op de dimensie zelfverrijking.
Motivatie versus manifestatie
Er lijkt dus een discrepantie te zijn tussen frequent genoemde motivaties en motiverende waarden. Een mogelijke verklaring hiervoor is dat mensen zich niet altijd bewust zijn van hun echte motivaties of deze niet goed kunnen benoemen. Motivatie is dan een soort onderbuikgevoel. Wat ze dan wél benoemen, zijn motivaties die sociaal geaccepteerd of gepromoot zijn in hun omgeving en daardoor herkenbaar zijn. Het belang van aanzien en team-play om te hacken is dan eerder een maatstaf voor de verbondenheid van hackers met andere hackers en zegt meer over de hackercultuur dan over hackers zelf.
Gerechtigheid als excuus
Motivaties kunnen ook worden genoemd om het gedrag goed te praten. Gerechtigheid is een vrij nobele motivatie en lijkt soms een excuus om beveiligingssystemen te omzeilen. Nieuwsgierigheid is ook een relatief onschuldige motivatie en wordt bovendien sterk gepromoot in academische omgevingen en op de werkvloer. Dit kan verklaren dat nieuwsgierigheid de sterkste motivatie is voor nagenoeg iedere hacker.
Motivaties kunnen ook worden genoemd om het gedrag goed te praten
Motiverende waarden zijn minder bekend en daardoor waarschijnlijk minder ‘vertroebeld’ door omgevingsinvloeden. Het is daarom aannemelijk dat deze een beter beeld schetsen van de motivaties van hackers dan frequent genoemde motivaties. Het huidige onderzoek laat in ieder geval duidelijk zien dat hackers vooral vooruitstrevendheid najagen in hun activiteiten en zich daarmee afzetten van behoudendheid. Want, zoals een van de hackers tegen Goode en Cruise zegt: “If there was no challenge then it would become just as boring as playing tic-tac-toe.”
Dit onderzoek naar de motivaties van hackers is gedaan door psycholoog en criminoloog Renushka Madarie. Zij voerde dit onderzoek begin dit jaar uit voor haar masterscriptie aan de Vrije Universiteit Amsterdam. Een wetenschappelijke versie van dit onderzoek is ook gepubliceerd in het Cybercrime Journal.
Meer lezen over cybersecurity? Lees Cybersecurity steunt op techniek, mens én organisatie