Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 112 reacties, 17.947 views •

Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten. Wel moet de hacker dan niet verdergaan dan nodig om het beveiligingsprobleem aan te tonen.

Ivo OpsteltenAls hackers kwetsbaarheden op een 'verantwoorde wijze' kunnen melden bij bedrijven en organisaties, kan dat 'in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen'. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een brief aan de Tweede Kamer. Hij wil daarom dat organisaties geen aangifte doen tegen zogenoemde ethische hackers die beveiligingsproblemen aantonen en komt daarom met een leidraad. Dat had hij eerder al toegezegd.

Daarbij is het wat Opstelten betreft wel belangrijk dat hackers niet verdergaan dan noodzakelijk. Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors. Van bedrijven verwacht Opstelten dat ze adequaat op meldingen reageren, deze zo snel mogelijk bij de juiste afdeling neerleggen en melders op de hoogte houden van de voortgang. De richtlijn suggereert bovendien dat bedrijven ethische hackers een beloning kunnen geven voor het melden van een probleem. In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.

In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt. Wat de minister betreft moeten een melder van een datalek en een organisatie daarover afspraken maken, waarbij de melder de organisatie genoeg tijd moet geven om een beveiligingsprobleem op te lossen. Voor een lek in software suggereert hij een standaardtermijn van 60 dagen, voor hardwareproblemen een halfjaar. Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.

Omdat het om een leidraad gaat, kan de overheid niet afdwingen dat organisaties geen aangifte doen tegen ethische hackers. "Maar dit moet hackers meer houvast bieden", zegt woordvoerder Edmond Messchaert van het Ministerie van Veiligheid en Justitie. "Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."

Messchaert denkt dat bedrijven de leidraad zullen volgen. "Het is in het eigen belang van bedrijven dat ze op een goede manier omgaan met beveiligingsproblemen. Dat is puur economisch bedrijfsbelang." In bepaalde sectoren, zoals de financiële wereld en in de telecom, gebeurt dat volgens hem al. Volgens de woordvoerder gaat minister Opstelten het beleid 'promoten' bij zijn collega-ministers, om de overheid zover te krijgen het beleid intern in te voeren.

Daarnaast gaat Opstelten met het Openbaar Ministerie om de tafel over de vraag wanneer hackers wel en niet worden vervolgd. Maar, zegt Messchaert, "In onze rechtsstaat heeft het Openbaar Ministerie de bevoegdheid om zelf de afweging te maken of er strafvervolging wordt ingesteld. Daar wordt niet aan getornd."

Reacties (112)

Reactiefilter:-11120109+194+216+30
Moderatie-faq Wijzig weergave
Ondertussen zijn ze zelf wel bezig met die knacker van de 50+ partij. Lekker bezig.

[Reactie gewijzigd door actionInvoke op 3 januari 2013 14:17]

Het is een heel goed initiatief, maar de 60 dagen termijn is te vaag. Er moet onderscheid gemaakt worden in risico. Voor persoonsgegevens (naw, datasets, logs, logins) zou 1-2 dagen acceptabel zijn, maar voor minder belangrijke informatie zoals pagehit counters (die incremental dingen) kan een maand+ ook prima. Direct toegang tot een dns host, machine sturing of kerncentrale moet binnen één dag verholpen zijn én gemeld worden bij NCSC.
Tenzij een "etische hacker" gevoelige informatie te lezen krijgt van de AIVD door een kwetsbaarheid aan te tonen in hun systeem?
Ik ben een beetje kwijt of hij dit nu voor de hackers of voor de bedrijven doet.

Maar goed, Ik lever een waardeloos systeem wat aan het licht komt, maar ik hoef dit niet te melden... Geweldig, dan investeer ik gewoon niet meer, en ga ik achter de feiten aan lopen. Immers word ik toch niet gestraft voor een slechte beveiliging.

Ik word gehacked, fix het... en wacht weer rustig af.


Het lijkt me net een puik plan om de bedrijven een boete te geven met meldingsplicht. Niet melden VERHOOGT de boete net. Ik denk dat je bedrijven daarmee meer motiveert dan zeggen... ach, als je het oplost dan is het goed.
Ik ben benieuwd of er ook iets met zo'n rapport gebeurd, of dat het ergens in een la terecht komt. Op zich heel mooi om hier een richtlijn in te geven lijkt mij.
aan de ene kant, mooi natuurlijk maar dit moedigd natuurlijk ook de wat minder gespecialiceerde "hackers" aan om bedrijven te proberen te hacken.
als je oude tools uit backtrack gebruikt bijvoorbeeld op nieuwere systemen heb je kans op vreemde storingen of fouten.
daar schiet niemand wat mee op en de systeembeheerders worden ervoor aangekeken.
Ik vind dit enigszins een positieve ontwikkeling. Het lijkt alsof de regering de weg wijst voor wat betreft vervolgen (of juist niet) van "ethisch hacken". De reikwijdte van de definitie van "responsible disclosure" is helaas beperkt gebleven:

"Responsible disclosure binnen de ICT-wereld is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis
van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure"


Zie nou die "gezamenlijkheid tussen melder en organisatie" bij het openbaar maken te bereiken. Helemaal als de organisatie de economische overweging maakt om niets/weinig aan de lek te doen.
En als de door de organisaties vastgesteld beleid omtrent "disclosure" is om geen disclosure toe te staan? |:(
Bedrijf 2x schriftelijk waarschuwen met 2x 2 weken responce tijd en dan naar de media zonder concrete info over hoe de hack uit te voeren of het publiceren van klant gegevens lijkt me een beter plan. In deze leidraad van Opstelten heeft de etiche hacker geen stok achter de deur.

Persoonlijk zou ik er niet happig op zijn om lekken bij het SCS te moeten melden. Is een beetje als naar de politie gaan en zeggen dat je weet hoe je bij de juwelier moet inbreken. Vind ik een uitnodiging tot lastige vragen. De anonimiteit van de hacker moet gewaarborgd kunnen worden.
Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
Niet mee eens. Als (potentieel) gebruiker heb je het recht te weten dat een dienst niet veilig is, als dat bekend is! Alleen dan kun je geinformeerd de keuze maken of de dienst wel of niet te gebruiken.
Ja, maar zodra je het al gebruikt heb je die keuze al niet meer. En voor diegenen die het al gebruiken is het juist een veiligheidsrisico om het lek openbaar te maken, want hun gegevens worden dan (waarschijnlijk) meteen binnengehengeld. Daarom dus eerst zorgen dat de gegevens niet meer toegankelijk zijn voordat je het openbaar maakt (wel binnen een redelijke termijn natuurlijk).
Stel je eens voor: Ik breek in in een huis, zonder schade aan te brengen, of in ieder geval minimaal. Ik loop een rondje door het huis, maar neem niets mee. Ik laat dan een briefje achter met het verzoek contact met mij op te nemen, omdat het huis niet veilig is... Wedden dat ik word opgepakt?
Huisvredebreuk is toch wat anders dan 'praten met een server', dat doen we namelijk 1000en keren per dag, ergens inbreken niet, dat de een nou actief zit 'te praten' en de ander niet, maakt niet heel veel uit, uiteindelijk is het nog steeds dat je de server iets geeft en en er iets van terugkrijgt, normale gang van zaken dus.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True