Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieŽn Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 112, views: 17.510 •

Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten. Wel moet de hacker dan niet verdergaan dan nodig om het beveiligingsprobleem aan te tonen.

Ivo OpsteltenAls hackers kwetsbaarheden op een 'verantwoorde wijze' kunnen melden bij bedrijven en organisaties, kan dat 'in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen'. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een brief aan de Tweede Kamer. Hij wil daarom dat organisaties geen aangifte doen tegen zogenoemde ethische hackers die beveiligingsproblemen aantonen en komt daarom met een leidraad. Dat had hij eerder al toegezegd.

Daarbij is het wat Opstelten betreft wel belangrijk dat hackers niet verdergaan dan noodzakelijk. Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors. Van bedrijven verwacht Opstelten dat ze adequaat op meldingen reageren, deze zo snel mogelijk bij de juiste afdeling neerleggen en melders op de hoogte houden van de voortgang. De richtlijn suggereert bovendien dat bedrijven ethische hackers een beloning kunnen geven voor het melden van een probleem. In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.

In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt. Wat de minister betreft moeten een melder van een datalek en een organisatie daarover afspraken maken, waarbij de melder de organisatie genoeg tijd moet geven om een beveiligingsprobleem op te lossen. Voor een lek in software suggereert hij een standaardtermijn van 60 dagen, voor hardwareproblemen een halfjaar. Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.

Omdat het om een leidraad gaat, kan de overheid niet afdwingen dat organisaties geen aangifte doen tegen ethische hackers. "Maar dit moet hackers meer houvast bieden", zegt woordvoerder Edmond Messchaert van het Ministerie van Veiligheid en Justitie. "Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."

Messchaert denkt dat bedrijven de leidraad zullen volgen. "Het is in het eigen belang van bedrijven dat ze op een goede manier omgaan met beveiligingsproblemen. Dat is puur economisch bedrijfsbelang." In bepaalde sectoren, zoals de financiële wereld en in de telecom, gebeurt dat volgens hem al. Volgens de woordvoerder gaat minister Opstelten het beleid 'promoten' bij zijn collega-ministers, om de overheid zover te krijgen het beleid intern in te voeren.

Daarnaast gaat Opstelten met het Openbaar Ministerie om de tafel over de vraag wanneer hackers wel en niet worden vervolgd. Maar, zegt Messchaert, "In onze rechtsstaat heeft het Openbaar Ministerie de bevoegdheid om zelf de afweging te maken of er strafvervolging wordt ingesteld. Daar wordt niet aan getornd."

Reacties (112)

Reactiefilter:-11120109+194+216+30
1 2 3 ... 6
Veranderingen aanbrengen in een systeem, gegevens kopiŽren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors.
Er mag dus geen druk uitgeoefend worden op een bedrijf wat het gewoon niet op wilt lossen. Vrijstelling dus voor de incapabele bedrijven.

Oke ze hebben het NCSC nog achter de hand, maar aan wiens kant staan die?
Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
En daar ging het laatste beetje respect wat ik ministers had...

@tweakers het is niet 'Cyber Security Centrum' maar 'National Cyber Security Centrum', daarom heet het ook NCSC en niet CSC...

[Reactie gewijzigd door watercoolertje op 3 januari 2013 14:37]

Vooral het "gegevens kopiŽren" en "verschillende keren toegang verschaffen" is nogal lastig in de praktijk te brengen. Dat betekent dus dat wanneer je bijvoorbeeld naar een journalist wil stappen met je verhaal, je geen enkel bewijs kunt aanvoeren.
Tja, wat is ethisch?

Ik denk dat Minister Opstelstel met de wijze 'aantonen en aangeven maar verder niets' wel een goede lijn aan geeft. Maar er zal altijd worden gezocht naar loopholes door zowel hackers als bedrijven. Als je een lek vind en openbaar publiceerd en gelijktijdig het bedrijf in licht is dit dan goed of fout bijvoorbeeld. Moet je als hacker het bedrijf redelijkerwijs de tijd geven het zelf op te lossen voor het openbaar te publiceren?

Het is altijd wat gissen op dat gebied.
aan de ene kant, mooi natuurlijk maar dit moedigd natuurlijk ook de wat minder gespecialiceerde "hackers" aan om bedrijven te proberen te hacken.
als je oude tools uit backtrack gebruikt bijvoorbeeld op nieuwere systemen heb je kans op vreemde storingen of fouten.
daar schiet niemand wat mee op en de systeembeheerders worden ervoor aangekeken.
Ondertussen zijn ze zelf wel bezig met die knacker van de 50+ partij. Lekker bezig.

[Reactie gewijzigd door actionInvoke op 3 januari 2013 14:17]

Je hebt dus liever dat de hackers je gegevens (en dat van enkele duizenden anderen onschuldige mensen/klanten) op het internet zet? Ik vindt het wel goed dat ze de hackers beperkingen opleggen maar tegelijkertijd beschermen tegen aangiftes geven inruil dus zegmaar voor die "beperkingen".
Aan de ene kant: Cool, kan er inderdaad goed voor zorgen dat belangrijke site's mischien wat bter beschermd worden.

Aan de andere kant: Vaag dat digitaal inbreken zonder schade/diefstal dus wel mag/ word gedoogd.
Maar als ik zonder problemen een winkel/kantoor binnen kan komen zonder braakschade/diefstal ik wel word opgepakt en berecht. 8)7
Dat riekt naar chantage wat jij wenst. Dat vind ik toch net zo erg als een lek waar weinig mensen daadwerkelijk hinder van ondervinden. Misschien vind ik dat zelfs erger.
Je kunt beter zeggen dat bedrijven verplicht moeten worden gesteld om het lek te fixen in het geval van een "ethische hack".
[...]
Er mag dus geen druk uitgeoefend worden op een bedrijf wat het gewoon niet op wilt lossen. Vrijstelling dus voor de incapabele bedrijven...

Wat een prutsers hebben het toch voor het zeggen :S
En naar de media stappen is geen vorm van druk uitoefenen? Ik moet zeggen dat ik ministers over het algemeen onzin uit vind kramen als het ICT betreft. Maar dit is toch wel een zeer goede uitspraak.
Hoezo zou dat wel mogen? Dat is niet de plaats van de hacker...

Tuurlijk kun je wel wereldkundig maken dat je toegang hebt gekregen en als dat niet genoeg is een tipje van de sluier oplichten in het openbaar; aangezien er dan altijd wel "foute" hackers en scriptkiddies op afkomen is er dan genoeg druk om het alsnog op te lossen.

Een soort meldpunt voor dit soort problemen zou ook wel op z'n plaats zijn; Dan kan een ethische hacker een probleem bij de overheid melden waardoor er bewijs is dat een bepaald lek is aangetoond en gemeld bij een bedrijf. Dat kan belangrijk zijn om aan te tonen dat een bedrijf wellicht nalatig is geweest bij oplossen van het lek. Ook kan de overheid er dan druk achter zetten (dat zou ook haar taak moeten zijn, niet de taak van een privťpersoon!)

Het CBP meer bevoegdheden (en middelen) geven hierin zou geen slecht idee zijn.
Nee, maar er is wel een klein verschil tussen NIKS mogen publiceren en ALLE gegevens...
kortom opstelten heeft goed gekeken naar belgiŽ om er zeker van te zijn dat mensen die een data-lek-check site bouwen nog steeds kunnen worden vervolgd... bovendien 60 dagen tussen ondekken en melden (lees publiceren) is belachelijk lang, en een half jaar is in de IT een eeuwigheid...

ivo heeft dus duidelijk nog niet de veiligheid van de burger in het belang, (eerder in het vizier)...

zelfs als je nog geen fix hebt voor een data lek MOET je iedereen die daar potentieel last van zou kunnen hebben op de hoogte stellen, maximaal een dag of hooguit 2 nadat een lek ondekt is...

dat je dan nog geen bewijs / of concept code zou moeten publiceren is een discussie appart, maar deze richtlijn in de huidige vorm, context, en in relatie tot andere regels en wetgeving is duidelijk een Wassen Neus!
Sorry,

Ik ga toch ook als bedrijf iemand aanklagen als ik weet wie het is die mijn raam gebroken heeft om aan te tonen dat het niet goed genoeg beveiligd is...

Wat een onzin dat je dus mensen die inbreken al is het digitaal niet zou mogen aanklagen!

Verder, het is strafbaar om je eigen auto deur niet af te sluiten. Waarom is het dan niet strafbaar wanneer het blijkt dat een server niet genoeg beveiligd is?

Mvg,
Nee dat ook weer niet, maar zonder gekopieerde gegevens heb je inderdaad geen bewijs en geen pressie-middel zodat luie bedrijven er niks aan gaan doen.
Ik geloof dat het tijd wordt dat er is iemand met verstand van IT in de politiek komt. Twee maanden om een (softwarematig) veiligheids probleem op te lossen als termijn is bizar. Bedrijven zullen juist van dit soort termijnen misbruik maken, ook bij serieuze lekken, en zeggen dat het niet naar buiten gebracht had mogen worden omdat de twee maanden nog niet over waren...
Security problemen moeten in alle gevallen zo snel mogelijk opgelost worden, dat is geen tijdsframen van maanden of weken, maar uren of hooguit dagen.
Dat is juist het leuke dat ze een leidraad maken en geen wet.

Het is meer een vinger naar de goede richting voor bedrijven hoe zij hiermee om moeten gaan.
Het zelfde voor deze etnische hackers. Zoals ook in het artikel staat :

"Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."

Als een hacker dus wat vindt en hiermee verantwoord mee om gaat en bedrijven kunnen dan ook het met open armen ontvangen.

Natuurlijk zegt deze leidraad niks over hackers die kwaadwillend hiermee omgaan. Die zijn dan ook gewoon nog steeds strafbaar.

Ik vind dit gewoon een nuttige zaak. Ik hoop dat hiermee onschuldige hackers dan ook onschuldig kunnen blijven en dat bedrijven dit als een kans zien en niet als een bedreiging!

edit: Een overheid kan niet een bedrijf opleggen om iets te moeten doen binnen x aantal dagen. Als er een lek zich heeft plaatsgevonden ( dus er is persoonlijke data beschikbaar op het internet ) dan pas zijn zij strafbaar. Dat vind ik!

[Reactie gewijzigd door Roysten op 3 januari 2013 14:28]

Ik vind het juist een opmerkelijke uitspraak van Opstelten, waar ik het zowaar mee eens ben. Als je gaat vernielen of druk uitoefenen dan ben je geen white hat hacker meer, dan ben je een crimineel. Als een bedrijf geen actie onderneemt op de gemelde problemen dan dient de hacker het probleem aan te kaarten bij CBP en/of justitie, wegens nalatigheid. Alleen zij mogen druk uitoefenen.
In het artiekel staat duidelijk dat de hackers geen enkele bescherming krijgen. Het blijft aan de bedrijven of ze de hackers aan klagen of niet. De leidraad laat alleen zien dat de overheid achter deze bepaalde groep etische hackers staat die het alleen doen om de bedrijven te wijzen op lekken.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013