Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 26, views: 16.189 •

De directeur van de FBI, Robert Mueller, roept bedrijven op om samen te werken met de autoriteiten bij datalekken. Dat dit betekent dat zaken in de publiciteit kunnen komen, is iets wat ze volgens hem voor lief moeten nemen.

Mueller zei dat tijdens een keynote op de RSA Conference, een beveiligingsconferentie in San Francisco. Mueller richtte zich met zijn oproep op aanwezige bedrijven in de zaal. "Het in stand houden van stilzwijgen zal ons op de lange termijn niet helpen", zei hij. "Het is niet een vraag van 'óf', maar van 'wanneer'".

Daarmee bedoelt hij dat elk bedrijf uiteindelijk het slachtoffer van een hackaanval zal worden. "Er zijn twee soorten bedrijven", aldus Mueller: "Bedrijven die gehackt zijn, en die nog gehackt worden." Geen enkel bedrijf is immuun, waarschuwt hij. Daarom roept hij bedrijven op om samen te werken, waarbij vertrouwelijkheid van informatie moet worden gewaarborgd. Het nieuws van een hack kan echter wel in de openbaarheid komen als een bedrijf meewerkt.

De opmerkingen van Mueller zijn ook in Nederland relevant. Hier wordt namelijk waarschijnlijk een meldplicht datalekken ingevoerd, maar de ict-branche is tegen: de imagoschade zou te groot zijn. Mueller zegt echter: "Het is in het belang van bedrijven om informatie over hacks te delen met de overheid."

Mueller denkt dat cybercrime uiteindelijk de plek van grootste dreiging voor de Verenigde Staten inneemt. Nu is dat nog terrorisme. Ook internationale samenwerking is volgens Mueller belangrijk om cybercrime tegen te gaan: "Landgrenzen vormen geen obstakel voor hackers, maar wel voor de politie", zegt hij.

De FBI-directeur ging niet specifiek in op digitaal terrorisme. Tijdens dezelfde conferentie zei beveiligingsonderzoeker Mikko Hypponen van F-Secure dat van 'cyberterrorisme' op dit moment nog geen groot gevaar uitgaat. Hypponen en Mueller erkennen allebei echter wel dat digitale media door terroristen worden gebruikt om bijvoorbeeld informatie uit te wisselen en propaganda de wereld in te sturen.

Gerelateerde content

Alle gerelateerde content (22)

Reacties (26)

Ik begrijp de imagoschade niet helemaal. Als je aangifte van een hack doet bij de overheid hoef je dit toch nog niet aan de media te vertellen? Of worden dit soort hacks door ambtenaren gelekt naar de media?
Het gaat er juist om dat een bedrijf aan zijn klanten moet vertellen dat het gegevens gelekt heeft. Dus er is wel degelijk imagoschade. Echter ik denk dat de imagoschade alleen maar groter is als je het als bedrijf niet zelf verteld en het later alsnog naar buiten komt.
grappig is dan wel dat de FBI regelmatig erg ver schijnt te gaan om informatie van haar fouten te vermommen, en dan heb ik het dus niet over informatie die geheim is maar gewoon fouten gemaakt in het veld.

maar ik moet het wel eens zijn met het statement het is beter voor iedereen om meteen eerlijk en duidelijk te zijn als er niets is gebeurd en wat precies, en ook ver genoege gevolgen als mogelijkheid in te schatten,

niet als KPN melden dat er geen kritieke systemen bereikt waren, terwijl er veel meer aan de hand was en in principe het hele telefoon netwerk plat had kunnen zijn.
Een onderzoek kan tot een rechtszaak leiden, en in die rechtszaak wordt dan de naam van het bedrijf genoemd. Rechtszaken zijn immers openbaar.
Een onderzoek kan tot een rechtszaak leiden, en in die rechtszaak wordt dan de naam van het bedrijf genoemd. Rechtszaken zijn immers openbaar.
Dat kan nu al heel simpel niet openbaar gemaakt worden door de rechter als die daar rede toe ziet. En daarbij kunnen we de wet ook aanpassen.

Vind eigenlijk dat rechtszaken sowieso gesloten moeten zijn, wat gaat het iemand anders aan? Is zaak tussen de rechter en verdachten en andere betrokkenen, pottenkijkers en media mag van mijn geweerd worden.
Maar wat als de database met gehackte bedrijven gehackt wordt? :+
Die staat dan later op Wikileaks. ;)
Mueller heeft op zich wel gelijk maar de ict-branche ook want het is op dit moment nog een uitzondering om gehackt te zijn. De vraag is meer hoe lang ben je nog een uitzondering want ieder bedrijf zal ooit wel eens gehackt worden.
Das dus precies wat Mueller zegt: het is niet "of" het is "wanneer". De ICT branche kan wel tegen zijn, maar er zijn meer branches die interessant zijn om te hacken. Het is wel zo dat de ICT branch de grootste klappen krijgt, zij zijn staan van nature in de schijnwerpers bij dit onderwerp.
Als maar een enkel bedrijf bekend wordt dat gehack is, lijkt het de klos te zijn. Als vele bedrijven blijken te zijn gehackt, lijkt het wat "normaler" te zijn.
En je wilt niet dat je bekend wordt dat je bent gehackt, dus neem je mee maatregelen er tegen.
Daarnaast, bij bekendmaking "weet iedereen" wat of nu gehackt is, zodat geruchtvorming minder kans heeft.
Dus kun je nu nog denken dat het maar het topje van de ijsberg is, waarvan bekend is dat het gehackt is. Dan is het duidelijk wat gehackt is.
Wat ik me gelijk afvroeg is, wie bepaald hier eigenlijk dat de ICT branche tegen is? Sinds wanneer bestaat daar een autoriteit in? Of heb ik al die jaren iets gemist.
Genoeg tweakers zullen er ongetwijfeld in werken en zich vast niet zo zeer kunnen vinden in deze uitspraak. Wat mij betreft is stilzwijgen hetzelfde als de gaten niet serieus nemen en er dus blijvend te weinig aandacht aan beveiliging wordt gegeven. Imagoschade is dan ook ondergeschikt, eerder marketing die er anders over denkt lijkt me.

Gek genoeg is beveiligen overigens vaak gelijk uit den boze zodra het blijkt dat hiervoor vrijheden moeten worden opgeofferd, iets waar de gebruikers tegenwoordig wel erg veel moeite mee hebben.
Ik vind het een goeie zaak als bedrijfen gedwongen worden het te melden als er een security breach is geweest.
Gebruikers op de hoogte stellen mogen ze van mij zelfs verplichten, je kan nooit 100% zeker weten wat er allemaal gestolen is, dus dan kunnen gebruikers er rekening mee houden en wachtwoorden veranderen/creditcards blokkeren mocht het nodig zijn.
Hier wordt namelijk waarschijnlijk een meldplicht datalekken ingevoerd, maar de ict-branche is tegen: de imagoschade zou te groot zijn.
Hier zakte me broek van af :+ En terecht dat je imago schade oploopt, moet je maar niet een stelletje incompetente serverbeheerders in dienst nemen die denken dat "pass123" en top wachtwoord is.
Niet elke hack komt door serverbeheerders die "pass123" gebruiken, dus dat is wel een beetje kort door de bocht :)
Imagoschade kan je trouwens ook beperken door de zaken goed aan te pakken. Een tijdje geleden gebeurde er een hack op hardware.info, het was een hack waar ze in principe niet veel aan konden doen (zero day). Ze hebben zelf een patch geschreven en gesubmit + ze hebben de leden zeer snel en duidelijk op de hoogte gebracht (wat was er aan de hand, wat hebben ze gestolen, waren de paswoorden veilig, ...). In mijn ogen (en die van vele leden) hebben zij geen gezichtsverlies geleden :)
Ze hebben wel het geluk dat hun publiek niet in paniek geraakt vanaf ze het woord "hack" lezen. Dat zal bij veel sites wel wat minder zijn denk ik.
Dat was meer bedoeld als beeldspraak, en had betrekking tot serverbeheerders die gewoon niet weten hoe ze de beveiliging op orde moeten krijgen.

En inderdaad, je kan je imagoschade zo goed mogelijk beperken door meteen transparant jegens je klanten te zijn, en ook laten zien dat er alles aan gedaan wordt om het te herstellen.

Mensen kunnen sneller begrip op brengen als ze meteen geinformeerd worden over de hack, en er daarna ook doorgecommuniceerd wordt wat er aan gedaan is.
elk bedrijf wordt een keer gehacked, en dat heeft niks te maken met incompetente netwerkbeheerders of iets in die richting, tuurlijk werkt het wel mee, maar al gebruik jij het moeilijkste wachtwoord kan je nog steeds gehacked worden. Kijk naar bijvoorbeeld anonymous. Ik denk niet dat je bij de NASA of een bedrijf in die richting een wachtwoord gaat vinden als Welkom01 of Pass123 en ook die bedrijven zijn al een aantal keer gehacked.

Zelf ben ik het met je eens dat het bedrijf een security breach meteen door moet geven aan zijn klanten, dan laat je aan je klanten zien van ok we zijn gehacked maar we doen er iets mee en nu weten jullie ook dat je iets kan/moet doen.
Als er ingebroken wordt bij je bedrijf en een archiefkast met klantgegevens wordt meegenomen hoor je er niemand over maar als een server gehacked wordt en er worden klantgegevens meegenomen dan is er opeens enorme imagoschade..
Dat komt omdat als een inbrekertje een dosier mee neemt met een lijst met klanten, dat minder erge impact heeft dan een server die gehackt wordt waar veel en veel meer op staat.

Beetje te vergelijken met of op een server inbreken, of een vrachtwagen voor rijden en de hele administratie/boekhouding mee nemen in de vrachtwagen, wedden dat je het dan wel hoort? ;)
Als er ingebroken wordt bij je bedrijf en een archiefkast met klantgegevens wordt meegenomen hoor je er niemand over
Ehr. Volgens mij hoor je niet over, omdat geen enkele gek natuurlijk de moeite gaat doen om een archiefkast te stelen. In tegenstelling tot laptops neem je die zo moeilijk mee. Daarnaast zit een archief vaak niet echt op een plek waar je makkelijk weg komt.

Daarnaast zou je dan ook alle adressen moeten gaan overtikken ofzo. Dat is bepaald de moeite niet waard.

Als je een adressenbestand download via een lek, dan kun je het makkelijk doorverkopen aan bijvoorbeeld spammers. Die zien je al aankomen met een vrachtwagen vol papieren archief.
Daarnaast zou je dan ook alle adressen moeten gaan overtikken ofzo. Dat is bepaald de moeite niet waard.
Geautomatiseerd scannen met OCR :?

En het hangt er maar net vanaf, ik kan me gevallen voorstellen waarbij het wel de moeite waard is.

De beste beveiliging op dat gebied had indertijd Van der Valk, de hele administratie zat in het hoofd van n persoon >:) Daar was de belastingdienst weer niet zo blij mee ;)
"Mueller denkt dat cybercrime uiteindelijk de plek van grootste dreiging voor de Verenigde Staten inneemt. Nu is dat nog terrorisme. "

Ik voel een nieuwe heksenjacht aankomen... een nieuw argument in de oorlog om de burger te strippen van enige recht op privacy, zowel offline als online.

Hoezo mogen wij alle acties op je computer niet monitoren? Je hebt toch niks te verbergen? Je bent toch geen cyber terrorist?
Kijkend naar de geschiedenis en de taken die de FBI heeft lijkt mij ook het meest logische voor ze om dit voor te stellen en hiervoor te waarschuwen.

Internet breekt inderdaad voor veel burgers de landgrenzen. Echter hebben deze grenzen nooit bestaan voor criminelen en terroristen (Denk dat iedereen zat voorbeelden kan bedenken). Er zijn natuurlijk al internationale verdragen en afspraken om internationaal misdaad te bestrijden. Dit zal zeker niet gelden voor cybercrime. Dus het uitdragen van gegevens zal dit zeker niet veranderen echter geeft het hun zelf wel meer inzicht en mogelijkheden.

Het hoofd van FBI wil natuurlijk zoveel mogelijk bevoegdheid en zo weinig mogelijk obstakels om zijn taken te kunnen uitvoeren en dat is een veiligere VS. Dat is hun werk, en een 100% veilige samenleving is een Utopie, dus voor dit soort instantie zal er altijd werk zijn, of ze zoeken werk.

(voor mij klinkt zijn hele betoog wat ik lees uit het nieuws bericht hier; "Wij van W.C.- eend adviseren.... W.C. eend.)
Ik dacht dat het al lang verplicht was dat bedrijven een lek moeten melden waarbij klantgegevens gekopieerd of ingezien zijn. Het bedrijf is namelijk verplicht om de gegevens veilig op te bergen. Ik ben het zeker eens dat bedrijven het moeten melden aan hun klanten. Ik bedoel: Bedrijven die hun zaken goed voor elkaar hebben, die zijn niet zo bang voor een aanval op hun systeem, deze is namelijk goed beveiligd. Ze zullen dus ook geen imago-schade krijgen. Echter bedrijven die niet zeker zijn dat hun zaken goed beveiligd zijn, die zijn bang voor imago-schade. Die hebben eigenlijk geen recht van spreken, dan moeten ze maar meer investeren in beveiliging.
Het lijkt erop dat de hacker straks als de nieuwe terrorist wordt gezien. Een goede smoes om ook meteen het Internet zover mogelijk aan banden te leggen.

Jezelf beschermen tegen een hacker is trouwens vele malen eenvoudiger dan jezelf beschermen tegen een terroristische plofkip. Ik snap al die commotie niet.

Zelf ben ik voor een dergelijke meldplicht, aangezien dit de enige manier is om bedrijven te forceren om beter na te denken over, en te investeren in hun ICT beveiliging.
Blijkbaar werkt de hack aanpak dan toch, zonder hackers zou deze info dus voor altijd achter slot en grendel bewaard worden. Iets wat goed is voor de imagos van bedrijven maar uiteindelijk een nadeel heeft op de portemonnee van de gewone consument, wij dus.
Ik denk dat die meneer Mueller toch niet helemaal gelijk heeft,
"Er zijn twee soorten bedrijven", aldus Mueller: "Bedrijven die gehackt zijn, en die nog gehackt worden." Geen enkel bedrijf is immuun
Ik ken zat bedrijven waar men 1 pc met een printer heeft voor de boekhouding en dat is het, geen internet....

Dus hoe wordt die dan gehacked>> een inbreker met een rootkit cdtje??, neemt ie gewoon de hele pc toch mee?? Da's geen hacken meer, das sleuren met een ouwe pentium 2 :+

Oh en de bedrijven zonder een PC, noem je de kaartenbak doorsnuffelen ook hacken dan :9
De bakker op de hoek past nu nog in je beschrijving maar verder… Hoe lang denk je dat je administratie nog kan doen zonder internet? Hoe lang denk je dat de Belastingdienst nog papieren aangiftes accepteert en bedrijven nog papieren facturen sturen? Internetbankieren IS al de standaard bij nieuwe klanten en er is geen weg terug.

Op dit item kan niet meer gereageerd worden.