Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 112 reacties

Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten. Wel moet de hacker dan niet verdergaan dan nodig om het beveiligingsprobleem aan te tonen.

Ivo OpsteltenAls hackers kwetsbaarheden op een 'verantwoorde wijze' kunnen melden bij bedrijven en organisaties, kan dat 'in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen'. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een brief aan de Tweede Kamer. Hij wil daarom dat organisaties geen aangifte doen tegen zogenoemde ethische hackers die beveiligingsproblemen aantonen en komt daarom met een leidraad. Dat had hij eerder al toegezegd.

Daarbij is het wat Opstelten betreft wel belangrijk dat hackers niet verdergaan dan noodzakelijk. Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors. Van bedrijven verwacht Opstelten dat ze adequaat op meldingen reageren, deze zo snel mogelijk bij de juiste afdeling neerleggen en melders op de hoogte houden van de voortgang. De richtlijn suggereert bovendien dat bedrijven ethische hackers een beloning kunnen geven voor het melden van een probleem. In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.

In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt. Wat de minister betreft moeten een melder van een datalek en een organisatie daarover afspraken maken, waarbij de melder de organisatie genoeg tijd moet geven om een beveiligingsprobleem op te lossen. Voor een lek in software suggereert hij een standaardtermijn van 60 dagen, voor hardwareproblemen een halfjaar. Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.

Omdat het om een leidraad gaat, kan de overheid niet afdwingen dat organisaties geen aangifte doen tegen ethische hackers. "Maar dit moet hackers meer houvast bieden", zegt woordvoerder Edmond Messchaert van het Ministerie van Veiligheid en Justitie. "Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."

Messchaert denkt dat bedrijven de leidraad zullen volgen. "Het is in het eigen belang van bedrijven dat ze op een goede manier omgaan met beveiligingsproblemen. Dat is puur economisch bedrijfsbelang." In bepaalde sectoren, zoals de financiële wereld en in de telecom, gebeurt dat volgens hem al. Volgens de woordvoerder gaat minister Opstelten het beleid 'promoten' bij zijn collega-ministers, om de overheid zover te krijgen het beleid intern in te voeren.

Daarnaast gaat Opstelten met het Openbaar Ministerie om de tafel over de vraag wanneer hackers wel en niet worden vervolgd. Maar, zegt Messchaert, "In onze rechtsstaat heeft het Openbaar Ministerie de bevoegdheid om zelf de afweging te maken of er strafvervolging wordt ingesteld. Daar wordt niet aan getornd."

Reacties (112)

Reactiefilter:-11120109+194+216+30
Moderatie-faq Wijzig weergave
1 2 3 ... 6
Voor het grote publiek staat een hacker, cracker of scriptkiddie inderdaad onder hetzelfde kopje als Hacker (helaas). Waarom? Gebrek aan inzicht over de situatie
Als je iemand gebrek aan kennis verwijst is het ook wel prettig als je dan even een verwijzing opneemt naar een bron van de kennis waar je aan refereert. Alleen aangeven dat het op tweakers in het verleden zo gebruikt werd is een nog al mager argument.
Maar dat hoeft nog niet te betekenen dat er geen onderscheid is tussen deze groepen en hun belangen/motivatie.
In de praktijk zijn die afgebakende groepen er helemaal niet. Als dat zo was dan was het ook niet nodig om nu een wettelijke definitie op te stellen van de voorwaarden waar een 'ethische hacker' aan moet voldoen.
Tik het woord maar eens in de search, dan zie je dat het al een lange geschiedenis hier heeft.
Cracker 82 artikelen (waarvan 1 met het woord cracker in de titel)
Hacker 1948 artikelen

Mijn conclusie is dan ook dat het woord cracker jaren geleden een korte periode soms gebruikt werd op tweakers.

[Reactie gewijzigd door Tribits op 5 januari 2013 00:17]

Een ethische hacker klopt eerst aan voordat die een vreemd huis binnenloopt.
Anders is er werkelijk niks ethisch aan.
Waarom zou je naar een journalist moeten stappen? Als de deur bij je buren open staat waarschuw je toch ook gewoon de buren en niet iemand anders?
dit is een vrijgeleide om overal maar te gaan proberen inbreken. Zou jij het leuk vinden dat ik je ff kom melden dat ik je brommerslot heb gelockpicked? Security kan gekraakt worden, dat weet iedereen, maar om het omzeilen ervan dan ook maar ineens te minimaliseren is fout.

In de strafwet is er nog altijd zoiets als poging tot inbraak.
Kortom komt het er dus op neer dat deze minister het gratis testen van de beveiliging van een bedrijfs- syste(e)men toestaat, dat is niet goed voor de werkgelegenheid.
De hacker mag de spreekwoordelijke voordeur openen en even rondkijken. Om daarna een briefje achter te laten. MAAR bestanden kopiŽren vind ik een wat andere zaak, dan een briefje neerleggen binnen. Dat betekent dat er gestolen is en dus strafrechtelijk ingegrepen dient te worden.
Zo'n speciale security-controle-groep bestaat al tientallen jaren. Ze heten accountants en hun taak is de bedrijfsintegriteit te controleren. En ook op IT gebied moeten accountants controles uitvoeren. Bij ons wordt dat elk jaar gedaan.

Zou je deze controles verder uitbreiden en verplichten voor bedrijven, dan heb je denk ik niet eens zo'n security groep nodig. Je zou zulke accountant controles dus verder moeten aanscherpen en misschien ook de accountant bureaus verplichten om zich open te stellen als landelijk maar anoniem meldpunt. Dan kunnen hackers/scriptkiddies met goede bedoelingen daar hun bevindingen melden en de accountants kunnen de bedrijven verder aanspreken.

Dat heeft bovendien als voordeel, dat de pijnpunten jaarlijks terugkerend onderzocht kunnen worden.

[Reactie gewijzigd door Noeandee op 3 januari 2013 16:54]

En als ze dat wel doen, dan lacht de politie je uit...
Je heb geen gegevens nodig om een bewijs te leveren of er een beveiligingsgat in zit, je beschrijft gewoon technisch wat het gat is en hoe het eventueel opgelost kan worden.
Wat een prutsers hebben het toch voor het zeggen
het blijven dan ook politiekers zonder enige vakkennis, net zoals managers moeten ze op de mening van technische mensen afgaan en in dat oogpunt snap ik zijn standpunt wel. Het probleem blijft dat hij de andere kant van de medaille niet ziet
Het gaat niet om dat iemand een raam breekt..

Het gaat er juist om dat iemand jou attent maakt dat er een raam OPEN staat!
Nou ik denk dat je dat wel waardeert!


Is het strafbaar als je je huis niet afsluit? Denk het niet! Hetzelfde met je auto.

Als er dan wordt ingebroken of je auto wordt gestolen. Dan kan de verzekering zeggen, je eigen domme schuld.

Dat zou het zelfde moeten zijn met lekken in systemen.

Als er een lek is geweest, is het je eigen pakkie aan of zou zelfs bestraft moeten worden als er persoonlijke informatie op straat is gekomen
kortom opstelten heeft goed gekeken naar belgiŽ om er zeker van te zijn dat mensen die een data-lek-check site bouwen nog steeds kunnen worden vervolgd... bovendien 60 dagen tussen ondekken en melden (lees publiceren) is belachelijk lang, en een half jaar is in de IT een eeuwigheid...

ivo heeft dus duidelijk nog niet de veiligheid van de burger in het belang, (eerder in het vizier)...

zelfs als je nog geen fix hebt voor een data lek MOET je iedereen die daar potentieel last van zou kunnen hebben op de hoogte stellen, maximaal een dag of hooguit 2 nadat een lek ondekt is...

dat je dan nog geen bewijs / of concept code zou moeten publiceren is een discussie appart, maar deze richtlijn in de huidige vorm, context, en in relatie tot andere regels en wetgeving is duidelijk een Wassen Neus!
Nee, maar er is wel een klein verschil tussen NIKS mogen publiceren en ALLE gegevens...
Ondertussen zijn ze zelf wel bezig met die knacker van de 50+ partij. Lekker bezig.

[Reactie gewijzigd door actionInvoke op 3 januari 2013 14:17]

Veranderingen aanbrengen in een systeem, gegevens kopiŽren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors.
Er mag dus geen druk uitgeoefend worden op een bedrijf wat het gewoon niet op wilt lossen. Vrijstelling dus voor de incapabele bedrijven.

Oke ze hebben het NCSC nog achter de hand, maar aan wiens kant staan die?
Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
En daar ging het laatste beetje respect wat ik ministers had...

@tweakers het is niet 'Cyber Security Centrum' maar 'National Cyber Security Centrum', daarom heet het ook NCSC en niet CSC...

[Reactie gewijzigd door watercoolertje op 3 januari 2013 14:37]

de reden dat hij niet vervolgt is,is omdat schiphol geen aangifte had gedaan.
Dat is niet waar, er is wel aangifte gedaan (bron).

De reden is dat het algemeen belang zwaarder woog dan de strafbare feiten, dat staat ook letterlijk in het artikel dat ik aanhaalde:

"Volgens het OM hebben Stegeman en zijn collega destijds wel strafbare feiten gepleegd, maar weegt het journalistieke belang zwaarder dan de strafbare feiten."

Het mag dus niet, maar omdat er een maatschappelijk belang mee gediend is dat het toch gebeurde, wordt het door de vingers gezien. Net als met hacken: het mag niet, maar wanneer er een algemeen belang mee is gediend wordt het - mits zorgvuldig gedaan - door de vingers gezien.
ook een journalist mag niet zomaar de dingen doen die stegemans soms uithaalt, maar personen/bedrijven doen vaak geen aangifte ivm nog meer mogelijk negatieve aandacht..
Het eerste klopt, het tweede misschien ook, maar dat is hier dus niet aan de orde, want er is wel aangifte gedaan. Het ontbreken van een aangifte is ook niet waarom journalisten 'meer' mogen dan gewone burgers. Journalisten hebben een bepaalde maatschappelijke functie, namelijk om de macht te controleren. Ze hebben daarom ook uit hoofde van die functie bepaalde rechten die niet-journalisten niet hebben, bijvoorbeeld:

"De Hoge Raad der Nederlanden heeft [...] uitgemaakt dat een journalist in een getuigenverhoor een vraag niet behoeft te beantwoorden als hij daardoor het risico loopt dat zijn bron bekend wordt." (bron), iets dat gewone burgers niet mogen, dat is strafbaar als meineed; zo simpel als jij het stelt is het dus niet.

Deze leidraad regelt informeel net zo'n soort uitzondering voor ethische hackers.

[Reactie gewijzigd door Iknik op 4 januari 2013 07:38]

Nee dat gaat meestal juist niet goed.
Goedkoper en sneller betekent simpel weg, te laat en de klanten zijn dan al gedupeerd.

Terwijl het bedrijf verantwoording moet nemen en veiligheid als een serieus onderdeel dient te beschouwen.

Wil je data met gegevens van klanten bewaren, dan moet je gewoon ook voor zorgen dat het goed getest is en anders moet je het product niet eens kunnen leveren lijkt me.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True