Minister: geen aangifte tegen 'ethische' hackers
Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten. Wel moet de hacker dan niet verdergaan dan nodig om het beveiligingsprobleem aan te tonen.
Als hackers kwetsbaarheden op een 'verantwoorde wijze' kunnen melden bij bedrijven en organisaties, kan dat 'in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen'. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een brief aan de Tweede Kamer. Hij wil daarom dat organisaties geen aangifte doen tegen zogenoemde ethische hackers die beveiligingsproblemen aantonen en komt daarom met een leidraad. Dat had hij eerder al toegezegd.
Daarbij is het wat Opstelten betreft wel belangrijk dat hackers niet verdergaan dan noodzakelijk. Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors. Van bedrijven verwacht Opstelten dat ze adequaat op meldingen reageren, deze zo snel mogelijk bij de juiste afdeling neerleggen en melders op de hoogte houden van de voortgang. De richtlijn suggereert bovendien dat bedrijven ethische hackers een beloning kunnen geven voor het melden van een probleem. In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.
In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt. Wat de minister betreft moeten een melder van een datalek en een organisatie daarover afspraken maken, waarbij de melder de organisatie genoeg tijd moet geven om een beveiligingsprobleem op te lossen. Voor een lek in software suggereert hij een standaardtermijn van 60 dagen, voor hardwareproblemen een halfjaar. Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
Omdat het om een leidraad gaat, kan de overheid niet afdwingen dat organisaties geen aangifte doen tegen ethische hackers. "Maar dit moet hackers meer houvast bieden", zegt woordvoerder Edmond Messchaert van het Ministerie van Veiligheid en Justitie. "Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."
Messchaert denkt dat bedrijven de leidraad zullen volgen. "Het is in het eigen belang van bedrijven dat ze op een goede manier omgaan met beveiligingsproblemen. Dat is puur economisch bedrijfsbelang." In bepaalde sectoren, zoals de financiële wereld en in de telecom, gebeurt dat volgens hem al. Volgens de woordvoerder gaat minister Opstelten het beleid 'promoten' bij zijn collega-ministers, om de overheid zover te krijgen het beleid intern in te voeren.
Daarnaast gaat Opstelten met het Openbaar Ministerie om de tafel over de vraag wanneer hackers wel en niet worden vervolgd. Maar, zegt Messchaert, "In onze rechtsstaat heeft het Openbaar Ministerie de bevoegdheid om zelf de afweging te maken of er strafvervolging wordt ingesteld. Daar wordt niet aan getornd."
Reacties (112)
- Je kan de virtuele en echte wereld niet met elkaar vergelijken.Het is geen Johnny Quest. Dat Piet Paulusma niets snapt zonder een Disney vergelijking is zijn probleem. Daarom zit hij niet in de regering tussen de wetgevers. Helaas zitten er daar nog wel een aantal anderen met hetzelfde probleem als Piet.
- Hoe moeilijk is het om anoniem te mailen met een bedrijf. Je kan wel een website/server/systeem, hacken, maar niet even via proxy een bedrijf een mailtje of post of telefoontje sturen waarin je ze e.e.a. duidelijk maakt? Dan heb je het misschien wel verdient** om gepakt te worden als het bedrijf je laat vervolgen, omdat je zelf even zo hard als het bedrijf zuigt in 'beveiliging'.
Is het werkelijk zo moeilijk je gezonde boeren verstand te gebruiken? Mensen die hacken om het vervolgens niet netjes te melden, melden het sowieso niet, of zijn al illegaal bezig door geld te vragen van het bedrijf in ruil voor de specificaties van het gevonden lek.
Mensen die wel met een goede bedoeling hacken en het netjes melden, worden met deze leidraad gesteund waar ze zich eerder (in elk geval meer dan nu) in een grijs gebied bevonden. Tegelijkertijd worden de mediageile nephackertjes er even op gewezen dat het wel echt de bedoeling moet zijn om een lek op te lossen, en niet om je naam in het nieuws te krijgen. Om het allemaal niet te vaag te houden wordt er met een tweetal termijnen gegooid (zestig dagen en een halfjaar), zodat er in elk geval iets concreets is.
En zo probeert minister Opstelten te voorkomen dat hij steeds als besluiteloze koe overkomt in de berichten die de revu passeren mbt dit onderwerp.
**nou niet allemaal dom hierop gaan reageren, is vrij duidelijk dat ik niet bedoel dat het goed is dat 1 op de 10.000 bedrijven die zon melding krijgt er moeilijk over gaat doen
[Reactie gewijzigd door rotterdams op donderdag 3 januari 2013 23:02]
Menig bedrijf dient zich echter wel beter achter de oren te krabben wanneer zij gebruikersgegevens á la plain text opslaan in hun kwakkelige databases. Dat zou langzamerhand wet-technisch wel een "strafbaar feit" mogen worden als je het mij vraagt...
[Reactie gewijzigd door kwibus op vrijdag 4 januari 2013 11:47]
Anders is er werkelijk niks ethisch aan.
Dus die beweerd dat hij een ethische hacker is.
Ik denk dat het beter is om de juiste aanpak te volgen:
- informatie voorziening;
- plan van aanpak;
- ontwerpen en uitwerken;
- testen en nog eens testen; en laten testen; gebruik een eventlist hiervoor, daarvoor zijn ze bedoeld;
- checks uitgevoerd? dan pas distributie;
- wil het bedrijf veiligheid controleren, dan zouden ze een hacker kunnen inhuren zodat hij de uren betaald krijgt;
Een ethische hacker die kan natuurlijk ook zijn behulpzaamheid/dienst eerst aanbieden en dan pas het proberen te hacken. Lijkt mij tenminste logisch als men zo ethisch is.
[Reactie gewijzigd door BoringDay op donderdag 3 januari 2013 20:03]
Net zoveel als een cracker die helemaal niets zegt. Daar sta je dan met je adviezen, wetgeving en handhaving. Dan blijkt ineens dat die anonieme meneer met een Russisch IP-adres eigenlijk best lastig tot de orde te roepen is. Of die Nederlandse meneer die zijn naam wel bekend had willen maken, maar vreest dat hij vervolgd wordt. Kortom: ben blij dat hij zich überhaupt meldt, mocht het fout gaan dan kun je hem onderzoeken en mocht het goed gaan dan is het helemaal mooi.En wat doet een cracker die misleid.
Dus die beweerd dat hij een ethische hacker is.
De aanpak die je noemt is goed, maar zo doen veel bedrijven het nou eenmaal niet. Want dat kost geld. Dat kan veel sneller en goedkoper, en het werkt net zo goed toch? De manager vindt het er helemaal niet onveilig uit zien hoor.
En dan zegt het bedrijf "nee, ga weg, we kennen jou helemaal niet".Een ethische hacker die kan natuurlijk ook zijn behulpzaamheid/dienst eerst aanbieden en dan pas het proberen te hacken. Lijkt mij tenminste logisch als men zo ethisch is.
Terwijl je bij je eerste poging tot SQL-injectie al data kan binnentrekken. Wat doe je dan? Nou, de richtlijnen van Ivo opvolgen bijvoorbeeld. Een bedrijf neemt echt niet zomaar willekeurige mensen aan die mailen dat ze het bedrijf zouden kunnen helpen hoor.[Reactie gewijzigd door bwerg op donderdag 3 januari 2013 22:34]
Goedkoper en sneller betekent simpel weg, te laat en de klanten zijn dan al gedupeerd.
Terwijl het bedrijf verantwoording moet nemen en veiligheid als een serieus onderdeel dient te beschouwen.
Wil je data met gegevens van klanten bewaren, dan moet je gewoon ook voor zorgen dat het goed getest is en anders moet je het product niet eens kunnen leveren lijkt me.
"Responsible disclosure binnen de ICT-wereld is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis
van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure"
Zie nou die "gezamenlijkheid tussen melder en organisatie" bij het openbaar maken te bereiken. Helemaal als de organisatie de economische overweging maakt om niets/weinig aan de lek te doen.
En als de door de organisaties vastgesteld beleid omtrent "disclosure" is om geen disclosure toe te staan?
Persoonlijk zou ik er niet happig op zijn om lekken bij het SCS te moeten melden. Is een beetje als naar de politie gaan en zeggen dat je weet hoe je bij de juwelier moet inbreken. Vind ik een uitnodiging tot lastige vragen. De anonimiteit van de hacker moet gewaarborgd kunnen worden.
Ik kan me ook het omgekeerde afvragen en dat lijkt me nog logischer ook eigenlijk. Waar komt die term cracker vandaan? Staat niet in het woordenboek en wikipedia komt ook niet verder dan de opmerking dat het mogelijk naar een computerkraker kan verwijzen. In het wikipedia artikel over computerkraker wordt nog wel een referentie genoemd maar dat is een vijf jaar oud artikel dat ook nog eens opmerkingen bevat als 'Nu is de term "cracker" inmiddels een zachte dood gestorven.' en 'omdat niemand meer de definitie van cracker kent, zijn alle crackers dus hackers, en is de cirkel weer rond.'. De Engelse dictionary Merriam-Webster linkt direct door naar hacker net als de Engelse wikipedia disambiguation page voor cracker.Het blijft toch jammer dat men voor een "cracker" het woord "hacker" blijft gebruiken. Zeker op Tweakers had ik toch iets anders verwacht....
Belangrijk probleem is bovendien dat er absoluut geen strikt onderscheid is tussen goedaardige en kwaadaardige hackers en alles wat daar tussen zit. Bij ieder artikel dat op tweakers geplaatst wordt over hackers ontstaat weer de discussie of iets nu wel of niet toelaatbaar is. Sommigen vinden een poging tot binnendringen al ontoelaatbaar terwijl anderen het gepast vinden om een bedrijf geld af te troggelen voor de 'bewezen diensten'. Krijg je straks bij ieder bericht de discussie of het nu een hack of een crack is. Bovendien is vaak bij het schrijven van een bericht niet in detail duidelijk wat er gebeurd is en dat maakt het ook lastig te oordelen welke term het beste van toepassing zou zijn.
Je hebt een punt, maar het woord cracker zou hier bij Tweakers zeker bekend moeten zijn zoals Shark.Bait al aangaf. Tik het woord maar eens in de search, dan zie je dat het al een lange geschiedenis hier heeft.Ik kan me ook het omgekeerde afvragen en dat lijkt me nog logischer ook eigenlijk. Waar komt die term cracker vandaan?
Voor het grote publiek staat een hacker, cracker of scriptkiddie inderdaad onder hetzelfde kopje als Hacker (helaas). Waarom? Gebrek aan inzicht over de situatie, wat niet heel gek is aangezien het snel complexe materie is. Maar dat hoeft nog niet te betekenen dat er geen onderscheid is tussen deze groepen en hun belangen/motivatie.Welkom op TweakersSommigen vinden een poging tot binnendringen al ontoelaatbaar terwijl anderen het gepast vinden om een bedrijf geld af te troggelen voor de 'bewezen diensten'. Krijg je straks bij ieder bericht de discussie of het nu een hack of een crack is.
Als je iemand gebrek aan kennis verwijst is het ook wel prettig als je dan even een verwijzing opneemt naar een bron van de kennis waar je aan refereert. Alleen aangeven dat het op tweakers in het verleden zo gebruikt werd is een nog al mager argument.Voor het grote publiek staat een hacker, cracker of scriptkiddie inderdaad onder hetzelfde kopje als Hacker (helaas). Waarom? Gebrek aan inzicht over de situatie
In de praktijk zijn die afgebakende groepen er helemaal niet. Als dat zo was dan was het ook niet nodig om nu een wettelijke definitie op te stellen van de voorwaarden waar een 'ethische hacker' aan moet voldoen.Maar dat hoeft nog niet te betekenen dat er geen onderscheid is tussen deze groepen en hun belangen/motivatie.
Cracker 82 artikelen (waarvan 1 met het woord cracker in de titel)Tik het woord maar eens in de search, dan zie je dat het al een lange geschiedenis hier heeft.
Hacker 1948 artikelen
Mijn conclusie is dan ook dat het woord cracker jaren geleden een korte periode soms gebruikt werd op tweakers.
[Reactie gewijzigd door Tribits op zaterdag 5 januari 2013 00:17]
Maar als iemand mijn huis inbreekt en dan beweerd het een ethische inbreker is, dat geloof je toch niet?
Als ik een hacker zou zijn en wil een bedrijf een dienst bewijzen om te controleren hoe veilig zijn programmatuur is. Dan kan ik beter om hun toestemming vragen en er wat geld aan verdienen.
Maar goed, Ik lever een waardeloos systeem wat aan het licht komt, maar ik hoef dit niet te melden... Geweldig, dan investeer ik gewoon niet meer, en ga ik achter de feiten aan lopen. Immers word ik toch niet gestraft voor een slechte beveiliging.
Ik word gehacked, fix het... en wacht weer rustig af.
Het lijkt me net een puik plan om de bedrijven een boete te geven met meldingsplicht. Niet melden VERHOOGT de boete net. Ik denk dat je bedrijven daarmee meer motiveert dan zeggen... ach, als je het oplost dan is het goed.
Niet mee eens. Als (potentieel) gebruiker heb je het recht te weten dat een dienst niet veilig is, als dat bekend is! Alleen dan kun je geinformeerd de keuze maken of de dienst wel of niet te gebruiken.Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
