Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Een lobbygroep van een aantal grote internetondernemingen, zoals Google, Cisco en Microsoft, heeft zich fel uitgesproken tegen een Europese meldplicht voor beveiligingslekken. Deze meldplicht maakt onderdeel uit van een EU-richtlijn die de ict-beveiliging moet waarborgen.

De EU-richtlijn voor netwerk- en informatiebeveiliging moet nog opgesteld worden door de Europese Commissie. De richtlijn moet gaan gelden voor als kritisch bestempelde sectoren, zoals energie en transport. Duitsland en Frankrijk willen samen met het Europees Parlement echter dat ook zoekmachines, cloudaanbieders, sociale netwerken en de e-commerce-sector onder de richtlijn gaan vallen. De lobbygroepering Computer and Communications Industry Association, waar onder andere Google, Cisco, Facebook en Microsoft bij zijn aangesloten, heeft zich echter fel uitgesproken tegen de voorstellen van de Fransen en de Duitsers, zo bericht Reuters.

De lobbygroep is met name tegen een voorgestelde meldplicht bij ernstige beveiligingsincidenten aan de autoriteiten. De organisatie stelt dat bedrijven zo op hoge kosten worden gejaagd. Bovendien meent de Computer and Communications Industry Association dat de internetbedrijven niet als kritiek beschouwd moeten worden en dus niet onder de richtlijn moeten vallen. Verder stelt de lobbygroep dat, mocht de meldplicht er komen, er veel dubbele meldingen plaats zullen vinden.

Ondanks het verzet tegen de EU-richtlijn is de kans groot dat landen zelf mogen bepalen voor welke sectoren of bedrijven de regels gaan gelden. Hierdoor vrezen sommige EU-bestuurders dat het effect van de nieuwe regels beperkt zal zijn.

In Nederland werkt het kabinet aan een wetswijziging die tot een beperkte meldplicht moet leiden. In het afgezwakte wetsvoorstel moeten bedrijven alleen melding maken van 'ernstige' incidenten. Doen zij dat niet, dan riskeren zij een boete van maximaal 810.000 euro.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (43)

Juist bij die ernstige incidenten is de schade snel groter dan 8 ton (schijntje) en zal er dus veel onder de pet blijven. Het imago van een bedrijf alleen al is vele malen meer waard, en een groot lek bij een bank of Google krijg je niet even met een reclamecampagne opgevijzeld. Stilhouden is dan in het belang van het bedrijf, en niet in het belang van de burger. Ik wacht af waar de overheid voor kiest...
En hoe wordt het imago van een bedrijf precies geschaad als ze iets melden bij de overheid?
Het gaat hier niet over publiek bekend maken. Er is dus op geen enkele manier sprake van imago schade, laat staan van schade die "snel groter is dan 8 ton".
je zou via de wet openbaarheid bestuur een lijst kunnen opvragen van welke bedrijven een lek hebben gemeld en dat publiceren als media zijnde, en dat lijkt me dan ook nog eens meer dan terecht, het moet hoe dan ook maar eens afgelopen zijn met bedrijven die proberen bepaalde likken onder de pet te houden, nu is dat voor zoekmachines misschien minder relevant dan voor hilehosters of emailboeren, maar het principe is dat lekken zo snel mogelijk bekend gemaakt moeten worden zodat gebruikers zelf ook actie kunnen ondernemen. zoals wachtwoord weizigen of controleren of data nog wel correct is opgeslagen.
In de luchtvaart moeten incidenten verplicht bij de autoriteiten gemeld worden. Deze meldingen zijn uitgeslotrn van WOB, om te voorkomen dat incidenten niet gemeld worden. De overheid kan dan trends zien en ingrijpen indien nodig. Zo zou je het hier ook kunnen doen.
Dat ligt eraan hoeveel de lobby betaald voor de uitzondering positie.
Die 8 ton betaalt het bedrijf zodra de overheid weet dat er een ernstig lek niet gemeld is. Misschien kan de overheid het zo regelen dat gemelde lekken beschermd worden (uitgesloten van WOB), maar dat alle uitgedeelde boetes voor het niet melden van lekken netjes openbaar gemaakt worden. Naast de boete riskeert een bedrijf dan juist wat ze hoopten te voorkomen. Wie weet werkt dat afscrhikwekkend.

[Reactie gewijzigd door NDymyon op 11 december 2014 00:24]

Ik snap dat ze hiertegen protesteren; ik vind dan ook wel dat een bedrijf de kans moet hebben om een lek eerst zelf te dichten, in plaats van het direct publiekelijk te maken en zo inderdaad flink veel kosten maakt.

[Reactie gewijzigd door RobJH op 10 december 2014 16:02]

Er is geen sprake van publiek maken per se, ze moeten het melden bij de autoriteiten, het is niet alsof ze het in de krant moeten zetten ofzo ;)

En ik vind dat die uitzondering er niet moet komen, alle grote lekken moeten imho gemeld worden. Zeker als je beseft dat juist deze gigantische bedrijven enorme, enorme hoeveelheden aan persoonlijke data hebben, en de potentiele impact bij een hack dus ook enorm zou kunnen zijn.

[Reactie gewijzigd door wildhagen op 10 december 2014 16:07]

Dit is niet direct publiekelijk. enkel de autoriteiten worden hier in deze richtlijn genoemd.
Ben ik eigenlijk met je oneens. Van zodra een lek bekend is zouden de gebruikers van de software zo snel mogelijk op de hoogte gesteld moeten worden zodat deze kunnen voorkomen dat het bij hen misbruikt word.
hoe bedoel je veel kosten maken door het te melden?
de kosten maak je juist als je het lek wilt dichten en niet als je het openbaar maakt, dat is een kwestie van een paar telefoons plegen en een formulier invullen.
of zie ik het nu fout?
wat mij beter lijkt is dat dit in de SOX compliance gegoten dient te worden, maar dit kan alleen dus voor bedrijven die in de VS activiteiten hebben
Of de EU dient zelf een soort SOX wet te maken


edit: typos en toevoeging SOX

[Reactie gewijzigd door SSSQ op 10 december 2014 17:04]

Volgens mij wil je een lek ťťrst dichten voordat je een lek publiek maakt.
Anders span je het paard achter de wagen.
En wat verwacht je van een "autoriteit" ? Zelfs al is deze op de hoogte, zonder patch kunnen ook zij niets. Niets verplicht een bedrijf wettelijk een lek snel te dichten. Sommige lekken kķn je niet eens dichten.
Ik vindt het een hoop symbolisch politiek gedoe waar in de praktijk niets nuttigs uit voort komt.

Niet dat het nu zo fantastisch gaat, maar dit is niet de oplossing van het probleem !

[Reactie gewijzigd door T-men op 12 december 2014 00:29]

Ik vraag me dan vooral af wat er wordt gezien als een 'ernstig lek'. Een die in de top 10 van OWASP komt? Dat is voor mij nogal een vaag begrip, ben benieuwd hoe het kabinet dat ziet.

Overigens vind ik dat de grote organisaties die lekken al helemaal moeten melden, die hebben zo ontzettend veel persoonsgegevens in hun database staan, dat maakt het niet minder belangrijk.
Een ernstig lek in mijn ogen is een lek die van zo'n aard is dat als het publiekelijk bekend wordt de hele infrastructuur van een land plat kan leggen. Hierbij moet je denken aan kritieke systemen die een heel land plat kunnen leggen zoals vaker gebeurd was bij iDEAL, KPN en een hele hoop banken waar mensen opeens niet meer konden inloggen en problemen hadden met betalingen aan de kassa. En op zulke momenten heb je echt geen 60 euro voor je boodschappen want "klein bedrag, pinnen mag".

Dat een zoekmachine als "kritiek" wordt bestempeld geeft goed weer waar het aan schort: Een zoekmachine is niet "kritiek" als het gaat om het runnen van een land. Ja, criminelen hebben dan in 1x alle zoekresultaten van het afgelopen jaar, en ja, niemand kan dan nog zooi opzoeken, maar in hoe verre schaadt het de economie op zich? Van Microsoft kan ik het wel begrijpen, dat is een "kritiek" systeem, want als die een bug heeft dan kan het voorkomen dat dadelijk het hele openbaar vervoer plat komt te liggen (bijna alle systemen maken gebruik van windows) maar een bedrijf zoals Google of Paypal zou alleen als "kritiek" bestempeld kunnen worden op basis van het feit dat zij een virtuele bank zijn.

Er wordt hier met hagel op een klein doelwit geschoten. Ja, er zijn systemen die van zo'n kritieke aard zijn dat als het plat gaat we de hele economie plat leggen, maar die systemen moeten goed worden gedefiniŽerd en als iedereen zijn eigen regels gaat vastleggen moet je in land A wel informatie delen terwijl land B dat helemaal niet hoeft.
Dat een zoekmachine als "kritiek" wordt bestempeld geeft goed weer waar het aan schort: Een zoekmachine is niet "kritiek" als het gaat om het runnen van een land.
Je kunt ook valse zoekresultaten introduceren wat voor onrust kan zorgen.

T.a.v. sociale netwerken vind ik ook terecht je kunt er de privacy en de reputatie van een persoon me schenden. De sociale media is voor heel vele mensen, echt ,echt.
en hoe zit dat dan met bijv een lek in een mailserver met een miljoen nederlandse klanten,
denk aan webwinkels die passwordreminders sturen naar een gehacked email account waaroor persoon x via bol.com voor honderden euro's aan meuk kan kopen en jouw met de rekening laat zitten... doe je dat bij 1 persoon is dat niet zo erg maar bij 1000 klanten wordt het toch al minder fijn... en wat te denken als er bij een bepaalde webshop onversleutelde wachtwoorden zijn gejat, zonder meldplicht kunnen kwaadwillenden ook rustig op zoek gaan naar andere accounts met het zelfe user/passwordt setje. voor 80% van nederlands is het heel gebruikelijk om wachtwoorden te hergebruiken.
Onderschat niet hoeveel informatie die zoekmachines bevatten over wie nu precies wat doet op internet en hebben de zoekgeschiedenis van miljarden mensen.

Daarbij doen Google en Microsoft wel iets meer dan een zoekmachine onderhouden. Beide partijen verzorgen bijvoorbeeld voor miljoenen mensen e-mail. Als die mail gejat wordt is dat echt wel een serieus probleem.

Verder hebben deze partijen grote stukken van de digitale infrastructuur in handen. Problemen daarmee kan voor grote ecomische en sociale schade zorgen.

We zullen nog een hoop moeten praten om te bepalen wat precies een ernstig beveiligingsincident en welke diensten onder deze wet vallen, maar de genoemde bedrijven bij voorbaat uitzonderen vind ik belachelijk.

Er is overigens een oplossing voor deze bedrijven om te zorgen dat ze geen aangifte hoeven te doen: zorgen dat hun systemen veilig zijn. Dat is natuurlijk makkelijker gezegd dan gedaan maar wat extra financiele motivatie om het goed te regelen vind ik een prima idee.
Een ernstig lek in mijn ogen is...
Wetten en regels worden niet gemaakt met ogen maar met geschreven woord en kaders, ik voorzie hier de nodige problemen mee.
De lobbygroep is met name tegen een voorgestelde meldplicht bij ernstige beveiligingsincidenten aan de autoriteiten. De organisatie stelt dat bedrijven zo op hoge kosten worden gejaagd.
Waarom worden organisaties op hoge kosten gejaagd als ze ernstige beveiligingsincidenten moeten melden aan de autoriteiten? Of heeft dat te maken met het opvolgende onderzoek wat de autoriteiten in gaan stellen? In zie niet in waarom puur de meldingsplicht gepaard moet gaan met hoge kosten.
ze moeten dan waarschijnlijk binnen een door de autoriteit gestelde termijn het lek dichten of openbaar maken in plaats van het onder de hoed houden tot een volgende release die toch al op de planning stond.
Ik weet dat er soms beveiliginglekken niet worden gedicht, maar de meest als ernstige bestempelde beveiligingslekken wel, dus of de kosten nog echt opeens zoveel hoger worden valt nog te bezien.
Volgens mij is het gewoon omdat ze er geen zin in hebben dan dat het echt de kosten zijn.

Ik vraag me wel af wat er precies verstaan wordt onder ernstige beveiligingsincidenten en wat er allemaal gemeld moet worden.
Bijna elke bug die je als programmeur tegen komt is een mogelijk beveiligings probleem. Maar tenzij je op de hoogte bent van de misbruik die er gemaakt word van de bug betekend het niks.

Daarnaast zullen de meeste bedrijven het grootste gedeelte van hun data leken nooit opmerken. En krijgen ze nu de overheid op hun dak, omdat ze meldingsplicht hebben, en mogen dat nu in een staat vs bedrijf rechtzaak gaan bewijzen.
(1) De organisatie stelt dat bedrijven zo op hoge kosten worden gejaagd.
Een melding indienen zal nauwelijks kosten met zich meebrengen.
(2) Bovendien meent de Computer and Communications Industry Association dat de internetbedrijven niet als kritiek beschouwd moeten worden en dus niet onder de richtlijn moeten vallen.
Als zij geen 'kritieke' schakel in de beveiligingsketen zijn dan zullen zij weinig lekken te melden hebben en vervalt hun bezwaar onder (1). Maar aangezien zij privacygevoelige data beheren zal de EU ze terecht wel als kritiek zien.
(3) Verder stelt de lobbygroep dat, mocht de meldplicht er komen, er veel dubbele meldingen plaats zullen vinden.
Dat geeft niet, hoe vaker een lek wordt gemeld hoe meer verspreid of ernstiger het zal zijn. Hierdoor kan een lek een hogere prioriteit of impact toegekend worden. Verder is het de taak van de ontwikkelaars van de beheersoftware om dubbele meldingen te herkennen en te classificeren.
Over punt 1:
Je kan prima een proces opzetten binnen een organisatie voor het melden van (kritieke) lekken. Kijk bijvoorbeeld naar de financiŽle sector, waar veel soorten bedrijven verplicht zijn om fraude in boekhoudingen te melden. Dat hoeft dus inderdaad nauwelijks kosten mee te brengen, anders dan de kosten voor het eenmalig opzetten van het proces.

Over punt 2:
Internetbedrijven zijn kritisch in de samenleving. Zet Google bijvoorbeeld maar een dagje offline. Als je erover nadenkt is het hele Internet een 'kritische sector', omdat de economie ervan afhankelijk (en van veel mensen de psychische gesteldheid ;)).

Over punt 3:
Dubbele meldingen kunnen gewoon aan elkaar gekoppeld worden om zo meer inzicht te krijgen en informatie bij elkaar te verzamelen over het incident. Kijk naar bestaande bugrapportagesystemen, waarbij het mogelijk is om rapportages met elkaar te koppelen. M.a.w.: meerdere incidenten kunnen onderdeel zijn van een enkel probleem.

[Reactie gewijzigd door The Zep Man op 10 december 2014 16:32]

Ik zou liever zien dat ze eerst het lek dichten en dan pas melden.
En als ze er voor kiezen het lek dan maar niet te dichten?
Wat mij betreft horen alle grote bedrijven een soort van INES meldingen te geven als er bedrijfsongelukken zijn.
Probleem is dan dat bedrijven het zullen proberen te bagatelliseren.
Het lijkt me dat hier het strafrecht op van toepassing zou moeten zijn (de directeur in de gevangenis). Lullige boetes gaan niks helpen. Zeker als de directe kosten al hoger zijn dan 8 ton, met de kans dat dit niet uit gaat komen heb je hier niks aan.
Ik denk dat het allemaal een tikje complexer is dan geschetst. Het feit of er een veiligheidslek is in je software is doorgaans wel objectief vast te stellen. Wat de impact daarvan is hangt net maar af van de gebruiker van de software. Als softwaremaker kun je dus wel het feit vaststellen, maar vaak niet de exacte impact. Je kunt dan als bedrijf wel een inschatting afgeven over de potentiŽle impact, maar dat wordt dus al vager.

Voor grote software pakketten, die miljoenen regels code tellen, wordt het aan de lopende band melden van issues (waar de impact ook nog af kan hangen van sys admins die de boel die goed beveiligd hebben).

Sommige lekken zijn ook niet te dichten, omdat compatibiliteit en doordraaien van de toko voorrang heeft boven een lek (wat al dan niet al gebruikt is). Ook daar spelen kostenafwegingen (naast het al genoemde imagoschade).

De wereld is al voor veel mensen te klein als hun internetbankieren site er uit ligt. Als dan ook nog de overheidsinstantie nog niet al te veel ICT vaardigheden heeft, dan wordt het melden een prettig feestje voor bedrijven (met bijbehorende kosten). De meldplicht an sich is niet onlogisch, maar ik kan ook nog wel begrip hebben voor de mitsen en maren die de lobbygroepen oproepen.

Gelijk weer brood op de plank voor bedrijven die in deze hoek werk zien...

Privacy en lekken van een zoekmachine is m.i. geen onderdeel van dit verhaal. De privacy heb je al weggeven door gebruik te maken van de zoekmachine c.q. in te loggen (op bijv. bing of google of facebook, zie de gebruiksvoorwaarden van genoemde partijen). En een zoekmachine is niet kritiek, je kunt prima een dag zonder. Het is alleen wat lastiger. Dat wel.

[Reactie gewijzigd door kdekker op 10 december 2014 17:28]

Ik kan me voorstellen dat ze liever niet in het dilemma komen te staan om of wel Europese wetten te overreden of Amerikaanse. De backdoors die ze door de Amerikaanse overheid verplicht in hun software moeten bouwen/ laten zitten zouden natuurlijk als lek worden gezien door de Europese wet.
Welke backdoors? Die software werkt gewoon met TCP/IP dus alles is te zien. Die backdoors zijn volgens mij alleen maar een verzinsel van mensen/groepen die liever zien dat we massaal met de vinger naar een ander wijzen en vervolgens niks doen. Persoonlijk heb ik eerder het idee dat ze deze enigzins overdreven hoge interesse in beveiligingslekken niet zo veel te maken heeft met de veiligheid van onze netwerken...

[Reactie gewijzigd door blorf op 10 december 2014 20:26]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True