Minister: geen aangifte tegen 'ethische' hackers
Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten. Wel moet de hacker dan niet verdergaan dan nodig om het beveiligingsprobleem aan te tonen.
Als hackers kwetsbaarheden op een 'verantwoorde wijze' kunnen melden bij bedrijven en organisaties, kan dat 'in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen'. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een brief aan de Tweede Kamer. Hij wil daarom dat organisaties geen aangifte doen tegen zogenoemde ethische hackers die beveiligingsproblemen aantonen en komt daarom met een leidraad. Dat had hij eerder al toegezegd.
Daarbij is het wat Opstelten betreft wel belangrijk dat hackers niet verdergaan dan noodzakelijk. Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors. Van bedrijven verwacht Opstelten dat ze adequaat op meldingen reageren, deze zo snel mogelijk bij de juiste afdeling neerleggen en melders op de hoogte houden van de voortgang. De richtlijn suggereert bovendien dat bedrijven ethische hackers een beloning kunnen geven voor het melden van een probleem. In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.
In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt. Wat de minister betreft moeten een melder van een datalek en een organisatie daarover afspraken maken, waarbij de melder de organisatie genoeg tijd moet geven om een beveiligingsprobleem op te lossen. Voor een lek in software suggereert hij een standaardtermijn van 60 dagen, voor hardwareproblemen een halfjaar. Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
Omdat het om een leidraad gaat, kan de overheid niet afdwingen dat organisaties geen aangifte doen tegen ethische hackers. "Maar dit moet hackers meer houvast bieden", zegt woordvoerder Edmond Messchaert van het Ministerie van Veiligheid en Justitie. "Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."
Messchaert denkt dat bedrijven de leidraad zullen volgen. "Het is in het eigen belang van bedrijven dat ze op een goede manier omgaan met beveiligingsproblemen. Dat is puur economisch bedrijfsbelang." In bepaalde sectoren, zoals de financiële wereld en in de telecom, gebeurt dat volgens hem al. Volgens de woordvoerder gaat minister Opstelten het beleid 'promoten' bij zijn collega-ministers, om de overheid zover te krijgen het beleid intern in te voeren.
Daarnaast gaat Opstelten met het Openbaar Ministerie om de tafel over de vraag wanneer hackers wel en niet worden vervolgd. Maar, zegt Messchaert, "In onze rechtsstaat heeft het Openbaar Ministerie de bevoegdheid om zelf de afweging te maken of er strafvervolging wordt ingesteld. Daar wordt niet aan getornd."
Reacties (112)
Het probleem is gewoon dat teveel van deze 'hackers' (lees: Scriptkiddies) hun eigen naam gebruiken omdat ze gewoon mediageil zijn. Heeft helemaal niets met ethisch hacken of een voorliefde voor veiligheid te maken.
Bedrijven die bijvoorbeeld persoonlijke gegevens verwerken/opslaan die moet je eventueel kunnen dwingen om hun systeem beter te beveiligen als er een lek is. Het is mooi als ze het vrijwillig doen, maar ze doen gewoon een kosten/baten analyse en dan komen ze soms tot de conclusie dat het goedkoper is om het probleem maar te laten zitten. Als dan alleen hun eigen data in gevaar is dan is het hun eigen probleem, maar stel het gaat om een verzekeraar of zoiets, dan liggen jouw gegevens misschien op straat.
Er mag van mij best een certificaat ingevoerd worden (als dat er niet al is). Wil je als bedrijf gevoelige data verwerken? Prima, laat maar zien dat je de beveiliging op orde hebt dan krijg je een certificaat. Toont iemand later aan dat er een lek is en je vertikt het om het lek te dichten omdat het geld kost? Prima, lever het certificaat maar weer in. Zodra een bedrijf stilgelegd kan worden omdat ze niet veilig handelen, zal een bedrijf er alles aan doen om wél de beveiliging in orde te hebben. Ik werk zelf in de farmaceutische industrie en daar zijn bedrijven als de dood dat de FDA of andere organisatie langskomt en een "warning letter" geeft. Het stil leggen van het bedrijf is zowat het ergste wat een bedrijf kan gebeuren in mijn branche, dus intern wordt er veel aan gedaan om alles op orde te hebben. Zou je zoiets ook hebben in de IT sector, met veiligheidsinspecties door externe partijen, dan zou de situatie denk ik niet zo rommelig zijn als nu met elke keer weer nieuws over lekken.
Dit soort uitspraken door de minister (!) geven gewicht aan een wet (of verminderen die juist)In het artiekel staat duidelijk dat de hackers geen enkele bescherming krijgen.
Een rechter houdt rekening met de geest van de wet, niet de letterlijke tekst. Een rechter zal dus bij een eventuele veroordeling meewegen of de betreffende hacker zich heeft gehouden aan deze door de minister aangegeven richtlijnen.
Er is dus wel degelijk sprake van een soort bescherming door de uitspraken van Opstelten.
edit:
moet een reaktie zijn op "Etruscian, donderdag 3 januari 2013 14:27", hierboven
[Reactie gewijzigd door T-men op 3 januari 2013 17:19]
Nee, iedereen die enigszins verstand heeft van security weet dat security-by-obscurity (dat doe je eigenlijk door te verbieden om in hoekjes van het internet rond te snuffelen) in het algemeen een waardeloos concept is. Degenen die naar zo'n verbod luisteren zijn degenen van wie je het minst te vrezen hebt, en doordat veiligheidslekken minder snel aan het licht komen help je juist de echte criminelen die die lekken misbruiken. Vergelijk dat maar met een fysieke beveiliging, waarbij je vertrouwt op de goedheid van de mens (in een onveilige buurt ga je liever niet wonen als je waardevolle spullen opslaat) en op sociale controle (het risico om gezien/gepakt te worden is wat inbrekers tegenhoudt).
En hoe veel capaciteit denk je dat zo'n speciale security-controle-groep dan moet hebben om alle websites te controleren? Zie je een gebouw voor je á la pentagon? Dan ben ik benieuwd waar je de miljarden vandaan haalt om dat te financieren. En anders denk ik dat je de grootte van het internet een beetje onderschat.
[Reactie gewijzigd door bwerg op 3 januari 2013 15:20]
Wel, alleen zijn het meestal journalisten die dat doen, en dan niet bij privé-personen, maar bij organisaties die een min of meer algemeen belang dienen - Alberto Stegeman werd ook niet vervolgd toen hij zich wederrechtelijk toegang verschafte tot besloten delen van Schiphol (link).In de echte wereld staan we ook niet toe dat mensen je voordeur openen om te checken of de deur wel op slot zit.
Het gaat er ook niet om dat iedereen maar zo digitaal bakstenen door ruiten mag gaan keilen. Hacken - computervredebreuk - blijft gewoon verboden. Het gaat erom dat de melding van een hack niet met terugwerkende kracht tegen de hacker gebruikt kan worden, terwijl de hack zelf helemaal niet is opgemerkt, net zoals de uitzending van 'Undercover in Nederland' vanwege zwaarwegend maatschappelijk belang niet tegen Stegeman gebruikt kon worden terwijl zijn 'infiltratie' zelf helemaal niet is opgemerkt.
[Reactie gewijzigd door Iknik op 3 januari 2013 15:04]
Dit is dus fout.
Letterlijk in de tekst:
Ofwel, niks publiceren, maar melden bij het bedrijf, en desnoods bij het CSC. Openbaar maken pas na langere tijd (zie alinea na wat ik gequote heb)In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.
In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt.
Het is meer een vinger naar de goede richting voor bedrijven hoe zij hiermee om moeten gaan.
Het zelfde voor deze etnische hackers. Zoals ook in het artikel staat :
"Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."
Als een hacker dus wat vindt en hiermee verantwoord mee om gaat en bedrijven kunnen dan ook het met open armen ontvangen.
Natuurlijk zegt deze leidraad niks over hackers die kwaadwillend hiermee omgaan. Die zijn dan ook gewoon nog steeds strafbaar.
Ik vind dit gewoon een nuttige zaak. Ik hoop dat hiermee onschuldige hackers dan ook onschuldig kunnen blijven en dat bedrijven dit als een kans zien en niet als een bedreiging!
edit: Een overheid kan niet een bedrijf opleggen om iets te moeten doen binnen x aantal dagen. Als er een lek zich heeft plaatsgevonden ( dus er is persoonlijke data beschikbaar op het internet ) dan pas zijn zij strafbaar. Dat vind ik!
[Reactie gewijzigd door Roysten op 3 januari 2013 14:28]
Je kan de white hats wel aanvallen, maar je bereikt er niks mee. Je kan beter een white hat langs krijgen die je op je fouten wijst, dan er een black hat langs komt die de gegevens jat of je systeem sloopt.
Als ik ergens binnen kan komen meld ik het netjes. Ik hoef helemaal geen presentje of bedankt te worden, als is het natuurlijk fijn als het wel gebeurd. Alleen aangifte doen omdat ik je wijs op je eigen fouten is weer het andere uiterste.
Bedrijven zijn verplicht om prive-gegevens goed te beschermen. Als een doorsnee hacker erin kan komen zijn de bedrijven dus zelf strafbaar en dan gaan ze die hacker die het meld aanklagen?
I.E. ik ben alsnog aan het inbreken."
Klopt, als je dan binnen bent, dan steel je niks en geef je het aan hoe je het hebt gedaan. Een bedrijf kan een hacker inhuren die eigenlijk hetzelfde doet. Oftewel het is wel gewenst! en als er iemand hierachter komt en dat aangeeft, dan is dat gratis beveiligingscontrole. Ik geloof dat dat best wel gewenst is, maar wordt verkeerd ontvangen door bedrijven/ niet goed uitgevoerd door de etnische hackers. Daarvoor dus die leidraad!
In vergelijking met huis situatie bijvoorbeeld is lastig te doen. Het is namelijk zo dat je jezelf niet tegen alles kan beveiligen. Ken je toevallig de reclame van een verzekeringsbedrijf die "preventieteams" heeft? Daar kan je het wel mee vergelijken. en ja inderdaad ik wil ook niet zoon gozer voor mijn deur die zit in te breken. Maar ik wil wel graag weten hoe en hoe ik mezelf daartegen dan kan beveiligen.
En ja er moet een lijn getrokken worden wat strafbaar is ( nalatigheid ) en wanneer niet. En daar is de politiek dus voor. En dat is dus heel moeilijk -> is iemand zelf verantwoordelijk of is iemand strafbaar omdat hij geen dubbel slot heeft?
In de ICT is de "deur" iets geavanceerder en kunnen meer gaatjes in zitten. En het heeft ook een ander gevoel natuurlijk dan voor een deur staan. Als je dan die gaatjes kan aangeven is dit mooi.
De leidraad is er dan om richtlijnen te geven hoe een hacker zich zou moeten gedragen als diegene een lek heeft gevonden. Voor het bedrijf is de leidraad er dan voor hoe hij deze persoon en deze informatie moet ontvangen.
"Stel ik kom binnen bij de gemeente, loop zonder problemen naar de archief kast en kan alles zo pakken maar doe het niet. Val ik dan ook onder deze regeling?"
Ik laat toch alleen maar zien dat de gegevens niet veilig zijn?
Waarom zou het digitaal minder een probleem zijn?
1: Het is geen regeling, het is een leidraad -> een aanbeveling.
2: Ja dan val je onder dezelfde context. Je bent een aangever van een beveiligingsprobleem en digitaal is dat probleem net zo erg. Je ziet zo vaak topics over persoonsinformatie op straat en dergelijke.
Het is gewoon een aanbeveling hoe etnische hackers moeten reageren naar bedrijven en andersom. Een goed initiatief dus!
edit: Het is zeer lastig om dit te vergelijken met een fysiek iets. Een beveiligingslek dat bekend is, is gewoon vragen om problemen. Een ingebroken raam kan je misschien een beetje zien als een ddos aanval. Je doet er misschien niet veel aan als het goed uitgevoerd is. Een bedrijf is ook beperkt kwa beschikbaarheid van geld en manschap of hij wel een zeer complex lek kan dichten. Alles kost geld.
[Reactie gewijzigd door Roysten op 3 januari 2013 15:46]
Het is ook niet 60 dagen tussen ontdekken en melden, het is 60 dagen tussen ontdekken en openbaar maken, dat is heel wat anders.
Die 1-2 dagen is tussen ontdekken en melden (bij het bedrijf). En die moet daarna gewoon de tijd krijgen om dat lek te dichten. Doet die niks, dan ga je naar het CSC. Niet naar de media.
Dan onderschat je wat er allemaal onder de term "hacker" valt. Hieronder vallen ook academici, professionals en mensen die veel bijdragen aan (bijvoorbeeld) open-source communities, geen tieners die een leuk tooltje hebben gevonden op internet. De politie (of eigenlijk govcert) daarentegen heeft véél te weinig capaciteit en kennis, die hebben nu al geen tijd en geld om een marktplaats-oplichter op te sporen, laat staan dat die even het hele internet controleren. Dat is alsof je stelt dat we beter niet op verkeersborden kunnen vertrouwen maar we op elke straathoek een verkeersagent neer kunnen zetten: totaal onrealistisch, daarvoor heeft de politie een factor 1000 meer aan capaciteit nodig, als het niet meer is. De enige optie is om te accepteren dat verkeersdeelnemers en internetgebruikers/websitebeheerders een eigen verantwoordelijkheid hebben, en daar voorlichting, adviezen en wetgeving op af te stemmen.En toch denk ik dat dit een probleem is van de politie en niet van willekeurige hackertjes die onder de vlag "goede bedoelingen" de boel open gooien.
Zoals ik al zeg: de vergelijking met fysieke inbraak loopt mank. De front-end van een website is iets wat naar elke gebruiker, waar dan ook ter wereld, opgestuurd wordt. Als het al vergeleken kan worden, dan is dat bijvoorbeeld met de beveiliging van mijn OV-chipkaart: mag ik mijn eigen OV-chipkaart, die mij per post toegestuurd wordt, niet op een zolderkamertje onder de loep nemen? Mag ik op een hobby-bijeenkomst van slotenkrakers geen sloten proberen te openen, die ik gewoon in de winkel gekocht heb?Als ik het dus goed begrijp, mag ik een slot wel testen of het te breken is en als het zo is zou ik de bewoner er attent op mogen maken? Die man die dat doet doet dat toch maar om 1 reden, om later terug te komen om alles leeg te halen.
Daarnaast zijn er nog veel meer verschillen tussen digitale en fysieke inbraak. Het is geen wonder dat mensen met een beetje technische kennis van digitale beveiliging er heel anders naar kijken dan Jan met de pet, omdat die zich alleen op een verkeerde vergelijking kan baseren. En als daar wetgeving op wordt gebaseerd biedt dat alleen schijnveiligheid, veiligheidslekken worden dan slechts onder de mat geschoven terwijl echte criminelen ze kunnen blijven gebruiken. Dat biedt geen enkel voordeel, alleen nadelen.
[Reactie gewijzigd door bwerg op 3 januari 2013 16:03]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
