ik had liever een wet gezien die op een bepaalde hoogte de aannemer aansprakelijk stelde op een zekere hoogte. het is niet de overheid die de fout maakt, maar wel de overheid de te weinig geld neerlegt om jouw gegevens moest beschermen (de baas vroeg om een werkende site, niet een veilige site). als de wet een developer aansprakelijk stelt voor simpele knullige fouten, dan denk je 10x na voor je JA tegen een bedrijf zeg die vroeg "kan je me helpen, je bent het voordeligst dus kan je een site maken waar ook persoons gegevens aan verbonden zitten"
als je de vermeende schuldige als gaat vragen om te bewijzen dat hun gelekte data WEL jouw data is zijn ver heen.......
preventie werkt misschien wat beter dan aantonen dat de gelekte gegevens mogelijk jouw gegevens waren of andersom..... want als je zo kijkt wie de dader is van de afkomstige data is het einde ver zoek. je gegevens hebben een grote waarschijnlijkheid al op straat te liggen puur omdat er al zoveel servers gehackt zijn in zo een lange tijd dat het niet veel moeite kost alles aan elkaar te linken en meer te weten dan de bedrijven die de gegevens vragen.
waarom bewijzen dat een bedrijf haar data gestolen is en mogelijk ook jouw persoons gegevens waren als je de gene aansprakelijk kan stellen die de klus aan nam alles online te publiceren? die moest weten wat er veilig was en niet. en natuurlijk snap ik dat je niet tegen alle hacks kan dekken. maar VAAK is het wel zo dat die alledaagse hacks gewoon alsmede nog werken omdat de developers op zo een lage prijs niet zouden weten wat er rond gaat na 10 jaar bekendheid.
"Het CBP kan een boete van maximaal 200.000 euro opleggen als een organisatie nalaat een melding te maken en dus de meldplicht ontduikt."... echt een losse letter uit de wet.. straffen voor het niet melden garandeert niet de veiligheid dat het kan gebeuren....
dus gewoon goedkope mensen inhuren, niet luisteren naar ze adviseren (als dat al gedaan word, want daar heb ik ook nog wel commentaar op) en later zeggen "wij wisten er niets van omdat we er geen verstand van hebben". wat heeft dat dan nog voor nut?
ik stel voor een om een veiligheids commissie op te starten met een minimale basis kennis om te testen op de meest debiele simpele basis hacks te testen... dan is kjiken hoeveel minder hack reports er komen...
het gaat om JOUW gegevens! strafbaar stellen van inbraak voorkomt nog geen inbraak!
[Reactie gewijzigd door Madnar op vrijdag 23 december 2011 04:45]
In eerste instantie zou dat aannemelijk zijn, maar stel dat je iets ontwikkeld op een platform versie X. Dat is veilig getest en werkend, vervolgens wordt dit geinstalleerd op de servers van de klant die veilig zijn(?). Er gaat tijd overeen en servers worden gepatched, software geupgrade en nieuwe lekken ontdekt waardoor platform versie X helemaal niet zo veilig bleek achteraf, maar jij hebt inmiddels alweer een andere klant en het spul overgedragen. Dan zou je met die constructie nog steeds aansprakelijk zijn. Ik denk dat de verantwoordelijkheid juist moet liggen bij de klant, het is zijn systeem en uiteindelijk is hij verantwoordelijk wat hij ermee doet. Een autofabriekant is ook niet aansprakelijk als jij met zijn auto iemand anders doodrijd, het zou eruit ziet....
Los daarvan denk ik niet dat het een kwestie is van geld in deze. Overheids projecten kosten miljoenen zo niet miljarden. Het probleem is gebrek aan kennis bij deze organisaties. Mede daarom is alles zo duur, men laat zich alles op de mouw spelden.
Tel daarbij de enorme wirwar van regels, procedures en met de dag veranderende voorwaarden, wetten en regels op en het is niet zo heel verwonderlijk dat temidden van dit alles er lekken ontstaan omdat er geen focus gegeven kan worden op de kern van een systeem door alle larie die eromheen hangt.
De kern zit hem in decentralisatie van alles, er is geen coordinerend geheel, losse gekoppelde systemen van een ieder op zijn eigen stoeptegel. Heen en weer gegooi van informatie en mensen die te trots zijn om interfaces af te stemmen om een coherent geheel te maken en politieke belangen zijn mijn inziens de oorzaak hiervan. Dit is niet alleen bij de overheid zo, ik heb bij veel bedrijven gewerkt en veel organisaties gezien en overal is dit het probleem in dergelijke gevallen.
Die boete zorgt er in elk geval voor dat zaken niet meer onder de pet gehouden worden en mensen zelf actie kunnen ondernemen (persoonlijk vind ik het wel prettig dat ik het direct weet als mijn creditcards gelekt zijn in plaats van dat ik dat via bankafschriften moet merken). Er kan nooit een goede reden zijn om informatie achter te houden die mensen nodig hebben om zichzelf te kunnen beschermen, echter zijn de politieke belangen hierbij aantrekkelijk en daarom moet een boete extra gewicht in de schaal brengen om de balans voor de eindgebruiker gunstig te laten uitslaan.
Ik denk dat de verantwoordelijkheid juist moet liggen bij de klant, het is zijn systeem en uiteindelijk is hij verantwoordelijk wat hij ermee doet. Een autofabriekant is ook niet aansprakelijk als jij met zijn auto iemand anders doodrijd
Zoals vaker met vergelijkingen tussen digitale en tastbare producten is deze in mijn ogen niet passend.
Als ik een auto heb die technisch gewoon werkt heeft de fabrikant zijn werk goed gedaan. De auto doet dan waar hij voor gemaakt is: rijden.
Als ik met die auto dan een ongeluk veroorzaak door een niet-technische reden is dat volledig mijn schuld, en heeft de fabrikant daar niets mee te maken.
Als ik een website laat maken die belangrijke gegevens moet hosten maar dit niet veilig doet en dus vatbaar is voor datalekken, is dat de schuld van de maker. De site doet dan namelijk niet waar ik hem voor heb laten maken, namelijk veilig gegevens hosten.
In dat geval is een 'ongeluk' (een lek) met de site dus de schuld van de bouwer, niet van de gebruiker.
Als we het voorbeeld van de auto erbij pakken is een datalek in een site analoog aan een auto met een productiefout. Dat is de schuld van de fabrikant, niet van de klant.
Geweldig zo'n nieuwe wet, maar ik zie het als mosterd na de maaltijd. Ik denkt dat het beter is om richtlijnen op te stellen waaraan een website moet voldoen voordat het fout gaat.
De meeste bedrijven geven (haast) niets om de beveiliging van persoonsgegevens. Snel en met veel winst verkopen is hun eerste streven en pas al het fout gaat wordt er misschien actie ondernomen op de beveiliging.
Het OS waar de server op draait wordt even snel geinstalleerd met de standaard, maar onveilige settings. Dan wordt er nog een knulletje van begin 20 ingehuurd om de website te maken (m.b.v een gratis CMS) die vaak barst van de beveiligingsfouten. Het mag allemaal niets meer kosten tegenwoordig en het moet binnen twee dagen online staan.
Kleine webwinkels maken voornamelijk gebruik van shared hosting oplossingen (vaak met Plesk of dergelijke erop geinstalleerd). Bij dit soort configuraties is het vaak kinderlijk eenvoudig om de database van je buurman te plunderen.
Motto van dit verhaal: Voorkomen is beter dan genezen.
[Reactie gewijzigd door Palatinux op vrijdag 23 december 2011 17:44]
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
20:15
19:08
Door 
