KPN door ACM beboet vanwege onvoldoende beveiligen klantgegevens

De Autoriteit Consument & Markt heeft KPN in 2013 een boete opgelegd van 364.000 euro voor het onvoldoende beveiligen van systemen met persoonsgegevens van klanten. De autoriteit maakt dit nu pas bekend, omdat de provider tegen de openbaarmaking verzet aantekende.

KPN-hack De ACM stelde in 2012 een onderzoek in naar de beveiliging van klantgegevens bij KPN. De autoriteit deed dit nadat een hacker in januari dat jaar bij wijze van kwajongensstreek inbrak in het netwerk van de provider. Hij had daarbij toegang tot een of meerdere core-routers waar het verkeer van klanten langs ging, wat het kabinet bevestigde. Uit het onderzoek kwam naar voren dat KPN de gegevens onvoldoende had beveiligd. De ACM legde het bedrijf dan ook een boete van in totaal 364.000 euro op.

KPN, dat eerder erkende dat het onderhoud van zijn systemen 'niet steeds optimaal' was, tekende verzet aan tegen de openbaarmaking van het boetebesluit. De voorzieningenrechters van de rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven, ook wel bekend als de CBb, waren het echter niet met de provider eens. De rechters vonden dat ACM het boetebesluit bekend mag maken, wat de autoriteit dinsdag dus heeft gedaan.

In januari oordeelde de Rotterdamse rechtbank dat KPN de boete terecht van de ACM kreeg. Het bedrijf heeft hiertegen bezwaar gemaakt en is in beroep gegaan bij het CBb. Die zaak loopt momenteel nog, wat betekent dat KPN later wellicht de boete toch niet hoeft te betalen als het met steekhoudende argumenten kan komen.

De ACM is in ieder geval tevreden dat de autoriteit bekend heeft gemaakt dat KPN de boete opgelegd heeft gekregen. In een persbericht laat bestuurslid Anita Vegter weten dat het onvoldoende beveiligen van klantgegevens het vertrouwen van consumenten in de telecommarkt schaadt. "Dit is een ongewenste situatie waar wij tegen optreden."

IT-banen

Reacties (50)

born4trance 2 juni 2015 18:27

364.000 euro maar. Daar zal KPN vast krom van liggen (van 't lachen...)

Eewokney @born4trance • 2 juni 2015 18:30

De reputatie schade zal ze waarschijnlijk meer interesseren.

Er zullen wel veel meer bedrijven zijn waarbij de beveiliging verre van optimaal is, kpn heeft pech dat ze als grote naam eerder getarget zullen worden en groots in het nieuws komen.

[Reactie gewijzigd door Eewokney op 24 juli 2024 18:53]

Armin

Netwerk en systeembeheer

@Eewokney • 2 juni 2015 18:56

KPN heeft echter wel een historie van wanbeleid. Zo was al twee jaar geleden bericht op deze site dat het interne netwerk niet goed afgeschermd was.

Maar je kunt het ook zien aan andere symbolische zaken: zo bied KPN als een van de weinig (de enige?) grote jongens nog steeds geen versleutelde SMTP aan. Ik heb het dan niet eens over client-server (wat anno 2015 natuurlijk een schande is) maar server-server. Dus alle email van en naar KPN is plain text over het web. Alles!

Dus ook als jij als een bedrijf een email relay hebt met KPN, alles is plain text. En ook alle dochters van KPN die de KPN infrastructuur gebruiken (kpnexchange.com). Geen encryptie! Zelfs geen opportunistische (zonder geldig certifciaat), nee, gewoon niet eens proberen.

Ik ken bijvoorbeeld een notariskantoor dat zelf alles netjes op orde heeft inclusief zelfs een eigen beveiligde mailserver, maar omdat hun server uiteindelijk relay doet via het KPN netwerk is alles dus alsnog lekker onversleuteld over het net. Smullen voor criminelen (en de AIVD). De gewone ondernemer kun je dat vaak niet kwalijk nemen want die verwachten dat marktleider KPN zoiets wel goed doet bij zakelijke abbonementen, toch?

En dat bedrijf zou wel andere aspecten van hun netwerk op orde hebben?

Soldaatje @Armin • 2 juni 2015 19:10

Ja, transport-ecnryptie is leuk, maar als je echt vertrouwelijke dingen wil versturen kan je beter PGP gebruiken.
Alle admins van alle mailrouters onderweg kunnen namelijk in theorie alsnog bij alle mailtjes.

Armin

Netwerk en systeembeheer

@Soldaatje • 2 juni 2015 19:48

PGP en transport TLS zijn echter twee verschillende zaken. Ze zijn complementair.

Let wel je hebt gelijk dat PGP bij echt vertrouwlijke zaken essentieel is, maar de realiteit is dat dat het voor de meeste mensen gebruikers te moeilijk is. Denk ook aan automatische gegenereerde emails zoals je maandelijkse creditcard rekening etc.

Maar belangrijker is dat PGP enkel de body van de email encrypt. De header bevatten een schat aan data welke dus onversleuteld over het net gaat. Je wilt dus beide zodat voor een 3rd party niet eens bekend is wie verzender en afzender zijn.

sylvester79 @Armin • 2 juni 2015 21:00

KPN biedt wel SSL http://kpn-customer.custh...rs/detail_page/a_id/16722
En XS4ALL biedt dit als dochter ook al jaren!

Armin

Netwerk en systeembeheer

@sylvester79 • 2 juni 2015 22:04

Kennelijk (aldus ninjazx9r98 ) was ik niet duidelijk, dus ter verduidelijking: ik had het over server-server SMTP verkeer. Dat is dus verkeer tussen de email servers van KPN en al diens dochters (inclusief XS4ALL) en de andere email servers. Denk aan GMail en Hotmail. Dus alle emails van en naar een KPN bedrijf is onversleuteld over het grote internet. Inclusief alle zakenlijke bedrijven die KPN of diens dochters als relay gebruiken. Dat is een flink deel van het MKB van Nederland ...

Enkel het kleine deel van de route van jouw client naar de KPN servers is soms versleuteld. Je moet dat dan zelf aangezet hebben én op een KPN netwerk zitten. Zit je niet op een KPN netwerk is enkel IMAP beschikbaar over TLS. SMTP is geheel niet beschikbaar en POP3 enkel onversleuteld.

Maar ik refereerde vooral naar server-server verkeer, aangezien dit gaat over het beveiligen van KPN's internet netwerken.

In die context is client-server verkeer overigens ook schandalig. Ziggo is een aantal maanden geleden nu verplicht overgegaan op TLS, maar bood het al veel langer aan. KPN heeft in haar tutorials nog steeds de onversleutelde configuratie als default. Dat is vervelend, want wie zijn/haar laptop op vakantie meeneemt ziet met POP3 dus gewoon het wachtwoord onversleuteld over het camping of cafe WiFi gaan.

Maar het server-server verkeer vind ik nog het allerergste want als zakelijke klant met eigen servers ben je dan nog steeds de sigaar.

Pachango @Armin • 4 juni 2015 14:00

Kennelijk (aldus ninjazx9r98 ) was ik niet duidelijk, dus ter verduidelijking: ik had het over server-server SMTP verkeer. Dat is dus verkeer tussen de email servers van KPN en al diens dochters (inclusief XS4ALL) en de andere email servers. Denk aan GMail en Hotmail.

Wat je over XS4ALL schrijft is onzin. KPN heeft inderdaad geen TLS, en dat is suf. Maar de XS4ALL-servers hebben dat natuurlijk wel. Dus mails tussen XS4ALL en andere mailservers die TLS ondersteunen is encrypted.

kimborntobewild @sylvester79 • 2 juni 2015 21:25

Een domeinnaam als custhelp.com gebruiken voor onderdelen van de beveiliging van (de nederlandse tak van) KPN, lijkt me ook niet bepaald veiligheidsgevoelverhogend.

Een verstandig bedrijf doet zulks gewoon op eigen domeinnaam. Bijv. custhelp.kpn.nl. Of gewoon help.kpn.nl.

[Reactie gewijzigd door kimborntobewild op 24 juli 2024 18:53]

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@kimborntobewild • 2 juni 2015 22:19

Een domeinnaam doet niet perse aan of af aan de geloofwaardigheid, zolang het een vertrouwd domein is en de content is correct en van KPN zelf (waar ook vanuit KPN naar gelinked is), hoeft dat absoluut niet een verlaagde betrouwbaarheid te eh... genieten.

custhelp.com is namelijk onderdeel van een dienst van Oracle.
Lijkt me niet perse iets mis mee?

http://www.oracle.com/us/...htnow/overview/index.html

TheKmork @Armin • 2 juni 2015 19:21

KPN heeft echter wel een historie van wanbeleid. Zo was al twee jaar geleden bericht op deze site dat het interne netwerk niet goed afgeschermd was.

Je beseft dat deze boete over een overtreding in 2012 gaat? Dikke kans dus dat dit over hetzelfde gaat als waar jij naar refereert.
Niet om alles goed te praten, want dat doet het zeker niet natuurlijk, maar alleen om aan te geven dat dit dus niet om een nieuw recent iets gaat.

ninjazx9r98 @Armin • 2 juni 2015 21:02

Dus de aanbevolen beveiligde opties op onderstaande KPN site worden volgens jou in werkelijkheid helemaal niet aangeboden?
http://kpn-customer.custh...rs/detail_page/a_id/16722

Armin

Netwerk en systeembeheer

@ninjazx9r98 • 2 juni 2015 21:08

Beter lezen! Ik had het over server-server communicatie.

En client-server bied KPN inderdaad TLS aan bij intranet maar hilarisch gezien bij internet enkel beperkt. Daar werkt het bij IMAP, maar in ieder geval tot heel recent niet bij POP3 en SMTP.

Maar zoals gezegd heb ik het over server-server SMTP verkeer, niet client-server.

ninjazx9r98 @Armin • 2 juni 2015 21:49

Beter schrijven, zo duidelijk staat dat er namelijk niet.
Je hebt het bijv over "ook als jij als een bedrijf" en ook over client-server maak je een opmerking die niet volledig duidelijk.

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@ninjazx9r98 • 2 juni 2015 22:13

Ik heb het dan niet eens over client-server (wat anno 2015 natuurlijk een schande is) maar server-server. Dus alle email van en naar KPN is plain text over het web. Alles!

Leek me duidelijk zat? o0

pwghost @ninjazx9r98 • 3 juni 2015 06:47

Het staat er wel duidelijk

hij zegt het in al zijn reacties

marcelvb

@Armin • 2 juni 2015 22:35

Ik kan dit bevestigen. Inmiddels gebruikt Ziggo wel TLS, maar KPN niet. Hoe moeilijk kan het zijn voor een van de grootste providers van Nederland?

born4trance @Eewokney • 2 juni 2015 18:33

Precies. Reputatieschade is bij zo'n beetje alle grote bedrijven wel gemeengoed.

Verwijderd @born4trance • 2 juni 2015 18:28

364.000 euro + reputatieschade, voor een probleem dat waarschijnlijk makkelijk op te lossen was.

born4trance @Verwijderd • 2 juni 2015 18:31

Hoe hoog schat jij de totaal geleden schade dan?

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@born4trance • 2 juni 2015 18:34

364.000, want het kan waarschijnlijk maar een heel select groepje klanten schelen dat er in 2012 een probleem was met de beveiliging. Dat wisten we al, want toen had een script kiddy van een jaar of 15 (iirc) toegang tot de routers en dergelijken.

Denk niet dat het echt reputatieschade oplevert.
Zakelijk gezien misschien wat meer reputatieschade, maar ook daar gezien 't uit 2012 komt... Meh, denk dat ze 't goed opgelost hebben door verzet aan te tekeken en het nu zo lang gelden is.

computerjunky @WhatsappHack • 2 juni 2015 20:36

reputatieschade maakt alleen uit als je concurrentie heb.
aangezien alle telefoonlijnen en groot deel van het glas netwerk en vele andere zaken allemaal via kpn verlopen zal het ze geen hol uitmaken.
Indirect heb je toch geen keuze en kpn vangt in veel gevallen toch wel geld van de dienst die je bij een ander afneemt.

sylvester79 @computerjunky • 2 juni 2015 21:08

Inmiddels verloopt niet meer alles via KPN.

https://www.acm.nl/nl/pub...-telecommunicatiemarkten/

KPN heeft nog maar 45-50% van de markt in houden voor vaste telefonie. Ziggo volgt hierop met 30-40% en bij Ziggo verloopt telefonie niet via het netwerk van KPN.

Het maakt KPN dus wel een hol uit. Of de boete terecht is, naar mijn mening niet:

- Er zijn geen klant gegevens buitgemaakt
- KPN is open en transparant geweest
- KPN heeft beleid actief veranderd om veiligheid te verbeteren

KPN wordt nu gestraft omdat ze open kaart hebben gespeeld. Een dergelijke boete zou er enkel moeten zijn als een bedrijf bewust informatie achterhoudt. Op deze manier zorg je enkel dat bedrijven het geheim houden.

kimborntobewild @sylvester79 • 2 juni 2015 21:34

- Er zijn geen klant gegevens buitgemaakt

Dat is niet bekend (of bekend gemaakt).
"De man brak vorig jaar in op honderden servers van de telecomprovider. ... ... Daarbij kon hij onder meer het verkeer van KPN-klanten onderscheppen."

- KPN is open en transparant geweest

Echt niet, als je de bekendmaking van een boete vanwege wanbeleid in de doofpot wilt stoppen.

- KPN heeft beleid actief veranderd om veiligheid te verbeteren

Als het kalf (deels) verdronken is, dempt men de put.

[Reactie gewijzigd door kimborntobewild op 24 juli 2024 18:53]

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@kimborntobewild • 2 juni 2015 21:50

Als het kalf (deels) verdronken is, dempt men de put.

Beter laat dan nooit. Dat er iets mis moest gaan voordat er actiever naar gekeken werd, neemt natuurlijk niet weg dat het een goede zaak is als er nu wel actief en goed op gelet wordt. Dat doet de beveiliging goed.

Het was natuurlijk wel fijner als ze dat meteen hadden gedaan...

kimborntobewild @WhatsappHack • 2 juni 2015 22:00

Beter laat dan nooit.

Vanwege het extreem weinige toezicht (als die er al is; in dit geval was er ook geen sprake van toezicht door een instantie maar van ontdekking achteraf) en vanwege het slappe boetebeleid, heerst helaas de cultuur om doorgaans pas te laat de beveiliging redelijk op orde te hebben.
Bedrijven die veel klantendata beheren, dienen onder permanent toezicht te staan (regelmatige controles).

sylvester79 @kimborntobewild • 3 juni 2015 19:59

Er is uitgebreid onderzoek gedaan en de jongen heeft een volledige bekentenis afgelegd. Het was gelukkig een 15 jarige jongen zonder kwade bedoelingen.

KPN is na de hack open geweest en heeft veel maatregelen genomen, in tegenstelling tot bijvoorbeeld Ziggo om incidenten zoals deze te voorkomen.

Het geheim houden van de boete is niet ongebruikelijk en heeft niets met doofpot te maken, ze zijn het gewoon niet eens met de boete.

Je noemt het trouwens wanbeleid maar daarvan was geen sprake. De 15 jarige jongen kwam binnen via een tot dan onbekende bug en kon via een andere bug verder in het netwerk komen.

KPN heeft nu hackers aangenomen (welke XS4ALL al vanaf het begin in dienst heeft om het netwerk te controleren en zelf daar ging het mis) om het netwerk kritische onder de loep te nemen. En ze nemen de aanbevelingen ook over.

Bij Ziggo kon een medewerker gewoon een USB stick meenemen met 50.000 gegevens van klanten daar is dus echt informatie gelekt, ben benieuwd welke boete hun hebben gekregen en nu geheim houden?

LopendeVogel @sylvester79 • 3 juni 2015 07:06

Boete niet terecht volgens jou mening?

Het gaat hier om een miljoenen, zo niet een miljarden bedrijf, die gehackt wordt door een 15 jarig jongetje.

KPN wordt nu gestraft omdat ze hun beveiliging zo slecht op orde hadden/hebben dat het gehackt kon worden door een 15 jarige knul. Dit terwijl KPN uiteraard al lang op de hoogte was dat hun beveiliging niet goed was/is. Het is niet dat er een vrijwel onoplosbare bug aanwezig was, nee het hele beveiligingsysteem was zo goed als niet aanwezig.

Om te zeggen dat ze gestraft worden vanwege open kaart spelen ( wat het helemaal niet was ) doet er totaal niet meer toe. Ze hebben al te lang achtergehouden dat ze de boel zo goed als niet beveiligd hadden, dat komt niet ineens uit de lucht vallen dankzij een 15 jarige knul. Ik wil niet weten hoeveel mensen/hackers deze 15 jarige voor waren wat KPN stil gehouden heeft.

KPN wordt gestraft wegens het bewust zijn van onbeveiligde systemen. En mocht ik bovenstaande informatie geloven van onze mede tweaker, is zelfs hun email verkeer server-server text plain zonder beveiliging/encryptie. Dat is niet een foutje, dat is bewust een fout maken.

Deze boete zorgt ervoor dat andere bedrijven wel naar hun beveiliging gaan kijken, achterhouden heeft geen nut want het komt toch wel boven water, kijk maar naar KPN

Zo niet door de ACM, dan wel door een 15 jarige knul.

computerjunky @sylvester79 • 2 juni 2015 22:51

Om telefoon van ziggo af te menen zit je echter aan een duur pakket vast en dat is lang niet interessant als die geen tv of internet van ze wil hebben...

zo ben je bij ziggo zakelijk minimaal 45 euro pm kwijt omdat je verplicht andere diensten af moet nemen en prive bijna 31 euro.

Peoplen @WhatsappHack • 2 juni 2015 19:08

Ik denk toch dat je de kracht van zulke berichten onderschat. Bedrijven geven vaak veel geld uit aan marketing. Dat iets lang geleden was maakt wel iets uit, maar ik was dit bijvoorbeeld alweer bijna vergeten, een reminder dat KPN zijn zaakjes niet op orde had is gewoon negatieve reclame.

Nu is negatieve reclame ook reclame, maar dan val je in een hele ander (marketing) discussie. Dat er geen andere schade is dan die boete geloof ik niet.

Verwijderd @born4trance • 2 juni 2015 20:15

Ze kunnen het betalen, maar dat wil natuurlijk niet zeggen dat het geen pijn doet. Ik doe projecten bij bedrijven vergelijkbaar qua grootte en daarbij wordt toch echt iedere euro (nou ja, iedere 1000 euro) extra investering heel kritisch bekeken).

freekvd @born4trance • 3 juni 2015 12:19

De boetebevoegdheid van de ACM is ook wel erg laag bij dit soort dingen. max 4 ton ofzo?

Sinds een week heeft het CBP een verhoogde boetebevoegdheid van 10% van de jaaromzet van de onderneming, wat bij KPN neerkomt op 800 miljoen in 2014.

Dat zit totaal aan de tegenovergestelde kant van het spectrum van redelijkheid.

[Reactie gewijzigd door freekvd op 24 juli 2024 18:53]

Verwijderd 2 juni 2015 18:59

Als je de geschiedenis van de hack leest, is de dader gepakt, is er geen schade aangericht, en heeft KPN er vervolgens alles aan gedaan om het te voorkomen. Er waren ook mechanismes daar om een inbraak te ontdekken. Als de KPN nu niets zou hebben gedaan, dan had de ACM misschien een punt gehad, maar nu.......

Die boete is een symbool. Maar gaat de KPN anders reageren de volgende keer? Ja, ongetwijfeld, ze zullen wel link uitkijken om met "autoriteiten" samen te werken. Tel uit je winst.

Wie zijn dan de lachende derden? De hackers die het uit puur gewin doen.

En de ACM, deze "autoriteit" heeft haar "onmisbaarheid" weer aangetoond. Staat mooi in jaarverslagen en bij kamervragen. Weer een handvol overheidsdienaars onder de pannen tot hun 67e. Ondertussen kan het onze behoedzame overheid geen f*k schelen dat de duitsers met onze instemming ons internetverkeer afluisterden,.

Zo de waard is....

Een oud gezegde, maar nog steeds waar.

hehe dat is er ff uit.

Wat een farce!

kodak @Verwijderd • 2 juni 2015 19:41

Als je de geschiedenis van de hack leest, is de dader gepakt, is er geen schade aangericht, en heeft KPN er vervolgens alles aan gedaan om het te voorkomen. Er waren ook mechanismes daar om een inbraak te ontdekken. Als de KPN nu niets zou hebben gedaan, dan had de ACM misschien een punt gehad, maar nu.......

Je vergeet dat de boete niet is opgelegd om wat ze na de hack deden, maar omdat KPN voor de hack de zaken die ze op orde had moeten hebben niet op orde had. En bij deze is tevens aangegeven dat het niet enkel om de boete gaat, maar ook om het publiek bekend zijn van de boete en dus het voorval. Iets wat ik persoonlijk ook zou willen zien in een compleet andere branche: die van de voedselveiligheid. Hygiene niet op orde en boete? Dan ook publiek bekend maken wie zijn zaken niet op orde had en de boel heeft laten verslonsen ten koste van de klant.

stresstak @kodak • 2 juni 2015 19:58

Dan ook publiek bekend maken wie zijn zaken niet op orde had en de boel heeft laten verslonsen ten koste van de klant.

Dus KPN heeft de zaakjes niet in orde en krijgt een boete. Fijn dat de klant dat nu weet, want die krijgt de boete doorberekend. Liever hoorde en las ik dat de verantwoordelijke persoon een douw krijgt. Boete, ontslag, degradatie of een rechtszaak aan de broek.

Nu is enkel de klant de klos.

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@stresstak • 2 juni 2015 21:59

Ach, dat vloeit weer terug de schatkist in. Dus dat zien we uiteindelijk wel teruahahahaaaa. Sorry, couldn't keep a straight face there...

Maar inderdaad. Toch zijn die boetes niet geheel nutteloos natuurlijk.
Het is nog altijd bijna 400k minder winst. (Al is 't wel belasting aftrekbaar, zo'n boete

I shit you not!) Dat krijg je niet zomaar terug. De omzet en winst lopen al tijden terug omdat per saldo de prijzen niet echt omhoog zijn gegaan en een aantal melkkoeien eindelijk van ouderdom gestorven zijn. Nog wat stuipjes, that's it.

Hoewel het een mega bedrijf is, voelen ze 't wel en tikken boetes natuurlijk wel aan.
Maar uiteindelijk is inderdaad de klant de ***. Het is eigenlijk een soort extra belasting die we dan via KPN betalen, hehe.

kimborntobewild @stresstak • 2 juni 2015 22:03

Boete, ontslag, degradatie of een rechtszaak aan de broek.

Er is al sprake van een boete; dus ik neem even aan dat je een persoonlijke boete bedoeld.

Boete, ontslag, degradatie of een rechtszaak aan de broek.

Persoonlijke boete, ontslag of degradatie zullen pas mogelijk zijn nadat er een rechtszaak is geweest tegen die persoon. Ik denk dat zo'n rechtszaak meer kost dan die 364.000 euro. Dus (uiteindelijk) worden er dan nog méér kosten afgewenteld op de klant.
En 't is al moeilijk om bij voorbaat één verantwoordelijke aan te wijzen; meestal is 't een groep die verantwoordelijk is.

[Reactie gewijzigd door kimborntobewild op 24 juli 2024 18:53]

Verwijderd 2 juni 2015 19:55

Dit had natuurlijk niet mogen gebeuren, echter hebben ze na de laatste hack wel drastische maatregelen getroffen.

Het aanstellen van de nieuwe CISO Jaya Baloo heeft het bedrijf erg goed gedaan.

KPN heeft sindsdien flink geinvesteerd in een eigen hackersteam en in diverse beveiligingsmaatregelen waaraan een gemiddelde bank een voorbeeld kan nemen.

Soms is het goed dat dit soort hacks binnen bedrijven plaatsvinden. Dit is vaak de trigger op management niveau om Informatiebeveiliging echt serieus te nemen. Complimenten aan KPN hoe ze hier vervolg aan hebben gegeven.

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@Verwijderd • 2 juni 2015 22:08

Dat is een van de redenen dat ik het heel belangrijk vindt dat ethische hackers meer rechten moeten krijgen. Dus een bepaalde set aan zeer stricte voorwaarden waaraan voldaan moet worden, en dat ze dan niet juridisch te vervolgen zijn.

Op dit moment ben je nog altijd strafbaar. Als jij zo'n toko hacked, niets van ze jat of wat dan ook, het aan ze meld omdat je ze wilt helpen, en ze geven je aan: dan ben je zwaar de sjaak. En daarom houden mensen vaak maar hun mond, uit angst. En dan wordt zo'n toko gehacked en zijn ze veel verder van huis, dan als ze die ethische hackers hun gang hadden laten gaan.
Dat is een van de redenen dat veel grote bedrijven, zoals Facebook, Google, etc. een "responsible disclosure" procedure hebben opgesteld; waarbij je nooit aangeklaagd wordt als je aan hun voorwaarden voldoet: en er zelfs nog zeer dik voor betaald kan krijgen.

DAT is slim.Dat werkt! Dat werkt heel goed zelfs... Het bedrijf wordt er veiliger van, er wordt geen data gejat door kwaadwillenden, en de hacker zelf: die verdient er een lekker centje aan.

Win-win voor iedereen.
Maarja... Heel weinig bedrijven hebben maar zo'n policy, en je loopt nog altijd wettelijk het risico om gewoon opgepakt te worden en echt grove problemen op je hals te halen, enkel omdat je een probleem aantoont dat veel mensen schade kan toebrengen; en het bedrijf zelf ook overigens als het lek niet gedicht wordt. En daarom blijven veel lekken die bekend zijn gewoon open, en worden niet gedicht; want lang niet iedereen durft er wat van te zeggen.

Als ze daar nou wettelijk eens wat op verzinnen...

Jheroun @WhatsappHack • 3 juni 2015 12:20

Nederland loopt juist ver voorop in dit soort zaken en er is al sinds 2013 een leidraad vanuit de overheid op responsible disclosure.

Als je je aan die voorwaarden houdt ben je niet strafbaar, bij die leidraad worden ook voorbeelden genoemd. De meeste Nederlandse telco's (waaronder KPN) hebben dit beleid geadopteerd en ook een aantal andere bedrijven heeft hier al beleid op (waaronder bv Marktplaats).

Dus, inderdaad een goed idee, maar daarom hebben we het ook al

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@Jheroun • 3 juni 2015 14:39

Hehe, dat doet me denken aan Pirates of the Carribean:
"It's more what you call guidelines, not actual rules."

Het probleem is dus dat het een leidraad is. Het is niet verplicht voor bedrijven om zich daar aan te houden; en als je je aan de regeltjes houdt kan je juridisch gezien alsnog aangeklaagd worden. Dat er een aantal bedrijven zijn die eindelijk zo'n policy geimplementeerd hebben, lost het probleem nog steeds niet op. Er zijn ook nog een godsvermogen aan bedrijven die zo'n policy niet hebben, en dan is het dus natte vinger werk om in te schatten hoe dat bedrijf gaat reageren...

Ik snap wel dat het wettelijk aanpassen ervan moeilijk gaat zijn. Als iemand namelijk data steelt en dit heel goed weet te verdoezelen, en vervolgens claimt dat het om "ethische redenen gehacked is", dan kan je 't niet tot heel lastig bewijzen maar is alsnog de data weg.

Toch zijn ook daar zat mogelijkheden toe, en dat het totaal niet te bewijzen valt is vaak (zeker bij redelijk geconfigureerde omgevingen) zeldzaam.

Maar ik vind een leidraad met aanbevelingen niet gelijk staan aan goede bescherming. Een bedrijf kan er altijd voor kiezen om je alsnog aan te klagen. Dat recht hebben ze. En als een bedrijf zich niet aan die leidraad houdt of dit uberhaupt totaal niet implementeert, dan ben je gewoon strafbaar hoor.

Dus dat de overheid zegt "dit KAN je doen" en een paar bedrijven zeggen "Top, dat doen wij." houdt niet in dat we het ook daadwerkelijk hier hebben in de zin van de wet... Catch my drift?

Jheroun @WhatsappHack • 3 juni 2015 15:44

Ik catch jouw drift wel maar zo werkt het gelukkig niet helemaal

Als een bedrijf jou aanklaagt terwijl jij je ethische hack volgens deze leidraden hebt gedaan wordt jij niet veroordeeld. Rechters doen namelijk wel wat met die leidraden en het OM ook. Zo waren er bijvoorbeeld de zaken rond het groene hart ziekenhuis en de ethische 'hack'door Henk Krol, die veel rondom dit onderwerp besproken zijn (vandaar die pdf van tektok).

Niet alles hoeft in een wet te zitten, dat maakt het veel complexer, zo'n leidraad is voor burgers, bedrijven en OM een stuk uitleg rondom een bepaald item om te snappen hoe we hier als maatschappij mee om willen gaan.

Als je dit wel in een wet stopt kan een ethische hacker nog altijd door een bedrijf aangeklaagd worden omdat die "vinden van niet". Dan helpt een leidraad meer.

Met de twee genoemde zaken en die leidraad vind ik het voorlopig helder genoeg wat er wel en niet mag en hoe daarover wordt geoordeeld. Er is nogal veel grijs dus voordat er een definitieve wet komt is het goed dat er veel cases door de rechter beoordeeld worden met behulp van de leidraad. Die wet komt nog wel een keer.

kodak 2 juni 2015 18:30

“Klanten stellen hun persoonsgegevens beschikbaar aan telecombedrijven om van hun diensten gebruik te kunnen maken. Zij doen dit in het vertrouwen dat deze bedrijven zorgvuldig met hun gegevens omgaan en goed beschermen. Gebeurt dat onvoldoende, zoals in dit geval bij KPN, dan schaadt dat het vertrouwen van consumenten in de telecommarkt. Dit is een ongewenste situatie waar wij tegen optreden”.

Ik lees hier niet minder dan: als wij bij KPN de persoonlijke gegevens van klanten niet goed beveiligen dan proberen we dat geheim te houden anders levert dat voor KPN een ongewenste situatie op.

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
KPN

@kodak • 2 juni 2015 21:54

Ik lees hier niet minder dan: als wij bij KPN de persoonlijke gegevens van klanten niet goed beveiligen dan proberen we dat geheim te houden anders levert dat voor KPN een ongewenste situatie op.

Hetgeen je citeert, was een uitspraak van een bestuurslid van de ACM. Niet van KPN...

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 18:53]

Niemand_Anders 2 juni 2015 19:02

Wel raar dat als je een boete krijgt van de ACM, dat je vervolgens in beroep kan (moet) bij het CBP..
Maar wanneer legt de ACM de overheid een boete op voor het doorgeven van tap-gegevens door de AIVD/MIVD aan de NSA zoals bekend werd na de rechtszaak welke door BOF en aantal andere privacy stichten was aangespannen?

Of vind de ACM het maar gewoon dat Nederland 1,8 miljoen taps doorgeeft aan de NSA?

tweaknico 2 juni 2015 18:44

Precies welke reputatie zou daar onder moeten lijden?

sjun 2 juni 2015 19:50

Die boete wordt gewoon weer omgeslagen over de klanten...

marcelvb

@computerjunky • 2 juni 2015 22:42

Meer boetes betekent meer kosten en betekent minder winst, of hogere abonnementskosten (en hoger dan die van de concurrent). Maar de concurrentie die geen boetes krijgt, kan zijn prijzen wel laag houden of meer winst maken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (50)

Sorteer op:

Weergave: