Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Bron: Netkwesties

De PvdA en de SP willen een meldingsplicht waarbij organisaties waarvan de systemen zijn gehackt dit bekend moeten maken. De beide partijen hebben een motie ingediend om dit verplicht te stellen. De regeringspartijen CDA en VVD ontvingen de motie met weinig enthousiasme en ook de Consumentenbond reageerde tam. De drijvende krachten achter de motie zijn Martijn van Dam (PvdA) en Arda Gerkens (SP). Zij vinden dat de eigenaren van de bij de bedrijven opgeslagen gegevens het recht hebben om te weten of de data in verkeerde handen is gevallen. De Tweede Kamer besprak vorige week de Wet Computercriminaliteit II. De motie zal verder uitgewerkt moeten worden en in juni 2006 weer in de Tweede Kamer worden besproken.

Hacker (klein)Het idee voor deze motie komt oorspronkelijk uit Amerika. In vijftien Amerikaanse staten is de meldplicht wettelijk vastgelegd. Hier moet een hack gemeld worden als er gegevens van minimaal 10.000 mensen mee zijn gemoeid. De reden voor deze meldplicht is de, in Amerika, steeds vaker voorkomende identiteitsdiefstal. Er wordt geschat dat in 2005 de identiteit van meer dan een miljoen mensen ontvreemd zal zijn.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (38)

'Een Hack' vind ik wat vaag...
Ik zie liever een meldplicht als er wederrechtelijk gebruik is gemaakt van opgeslagen gegevens.
Dat kan zijn door een hack, maar ook door verlies van backup tapes, misbruik door werknemers of slordigheid van een onderliggende partij.
En dan niet alleen voor bedrijven, maar eigenlijk ook voor de overheid.....
Het lijkt me ook sterk dat de motie over "een hack' sprak. Men zal wel gewoon bedoelen, als er persoonsgegevens ontvreemd zijn.

Op zich geen slecht idee, als je te horen krijgt dat je creditcard gegevens gestolen zijn kun je misschien beter op de afschriften ed. letten. Nu komt het inderdaad voor dat dat gebeurt en totaal niet te achterhalen is wiens gegevens nu wel of niet zijn gestolen.
als ik slashdot lees is de kans dat jou gegevens zoek geraakt zijn doordat iemand
a een laptop 'verliest'
b een tape verliest
c een website jaren laat openstaan met persoonlijke gegevens
vele malen groter dan dat iemand bv een instantie hacked. misschien dat het minder snel publiekelijk gemaakt wordt maar dan alsnog... als ze hacken in welke zin dan ook verplicht gaan maken dan zou men het omgekeerde ook verplicht moeten maken.. en misschien zelfs de mogelijkheid moeten geven tot strafrechtelijke vervolging.. zeker wanneer een overheids instantie zoiets perongeluk overkomt spreekt men eerder over een menselijk foutje dan de gevolgen ervan.. nee den-haag.. eerst eens het thuisfront op orde stellen voordat je naar buiten komt met ideeen waarvan 99,9% in het ratten nest geen flauw benul van heeft
als ze hacken in welke zin dan ook verplicht gaan maken
Pardon? Eerst 6 maanden voorwaardleijk en 1900 euro, en nu verplicht?!
Ja, inderdaad. Het is te vaag. Als ik in het logboek van mijn firewall kijk, dan zie ik iedere dag wel iets wat een poging tot hack genoemd kan worden. Het gemiddelde bedrijf zal dat dan ook wel hebben. Ik denk dat een en ander beter moet worden opgeschreven.

Eigenlijk vind ik dat de politiek zich hier niet mee moet bemoeien. Minder regels, Den Haag. Niet meer. Ik denk dat het gemiddelde bedrijf wel weet wanneer het ergens iets mee doet. Daarbij wil ik overigens wel stellen dat als er persoonsgegevens in het geding zijn, dat er dan wel degelijk melding gemaakt moet worden, maar ik geloof wel dat hier al regelgeving voor bestaat.
Ja, inderdaad. Het is te vaag. Als ik in het logboek van mijn firewall kijk, dan zie ik iedere dag wel iets wat een poging tot hack genoemd kan worden. Het gemiddelde bedrijf zal dat dan ook wel hebben. Ik denk dat een en ander beter moet worden opgeschreven.
Een portscan is geen hack. Net als iemand die voelt of je achterdeur op slot zit geen geen inbraak is. Natuurlijk moet het beter opgeschreven worden, maar, dit is nog niet eens een wetsvoorstel, laat staan een wet.
naja dat is dus een discussie punt volgens mij.

Je hebt ook zoiets als "poging tot moord".
Voor mij telt, het aanraken van de achterdeur al als poging tot braak. Zelfde als een bewuste portscan. Dat doe je met een bepaalde reden.
@DarkY: Maar bij een poging tot inbraak zijn er toch nog geen gegevens op straat komen te liggen? Dan hoeft de eigenaar van die gegevens dat toch ook niet te weten? :?

Daarbij, als het tot een poging beperkt blijft, is dat toch alleen maar een opsteker voor het bedrijf? Die hebben dus hun beveiliging op orde.
Komaan, als we portscans al strafbaar gaan maken, waar gaan we dan naartoe? Dan kan je het kijken naar een leuk meisje ook al beschouwen als poging tot verkrachting.
Komaan zeg, ik portscan ook soms servers omdat ik wil weten welke andere services nog open staan voor publiek.

We gaan toch niet zoals in Amerika het verbinden op een open service strafbaar maken h? Daar beland je in de cel als je verbinding maakt met het WiFi access point van je buur...
Je firewall vind een leecher al een hacker, athans die van mij.
hahah wat een wassen neus, nog steeds denkt de politiek dat openheid helpt .... :7

even voor de politiekertjes onder ons: openheid helpt bij slecht bestuur, zoals bij vrijwel elk overheids instituut het geval is

de meeste bedrijven beseffen pas de impact van een hack lang nadat het gebeurt is, tegen die tijd is melden te laat ... nog steeds gaat de regel op: voorkomen is beter dan genezen

en een afschrikwekkende werking naar de hacker uit ??? lol eerder naar de admin die eindelijk uitvogelt dat z'n systemen gehacked is, zal ie nog beter z'n best doen het hele akkefietje te verbergen

ik hoop (ijdel) dat iemand eens wakker wordt van de meeste (zinvolle) reacties hier gepost in den haag ... anders blijven ze daar 'zappen' met de muis :D :D :D

ohja, iemand nog de in de krant gelezen dat ziekenhuizen het niet nodig vinden patientengegevens afdoende te beveiligen ? (sql of oracle database met pw challenge aan een intranet (?))
Het is al tijden bekend dat er laks wordt omgesprongen met persoonsgegevens in de ziekenhuizen. Vaak staan er hier en daar ook gewoon computers 24/7 ingelogd op 1 account, terwijl er niemand achter zit. Je hoeft er alleen maar even achter te gaan zitten, en je kan zo informatie van de hele afdeling uitlezen.
Vorig jaar hadden we in ons bedrijf een hack. We wisten wie de dader was, we hadden zijn ip-adres en een telefoongesprek waarin hij bekende opgenomen.
Dat alles inclusief logfiles meegenomen naar de politie en aangifte gedaan: nooit meer iets over gehoord.

1 ding van geleerd: aangifte doen is zonde van de tijd.

Dat wordt nog lachen als je straks verplicht bent om aangifte te doen. Hoe willen ze dat eigenlijk controleren?
Melding maken naar de belanghebbenden en een aangifte of melding doen bij de politie zijn twee verschillende zaken.

Er heerst een cultuur dat je met persoonlijke gegevens van klanten maar mag uitspoken wat je wil en de goede naam en faam van je bedrijf belangrijker is om te tonen dan eerlijk zijn naar de eigenaren van de persoonlijke gegevens.
Dat het een en ander ondanks verboden mogelijk is of mogelijk wordt gemaakt neemt niet weg dat het dus maar normaal gevonden moet worden dat je daar gebruik of misbruikt van maakt voor je eigen voordeel.

Ergens gaat de uitwerking van een meldingswet net zo scheef als de verplichte melding van de persoonsgegevens zelf. Een melding afdwingen naar de eigenaren van de persoonsgegevens is bijna niet mogelijk, laat staan dat iemand die nu al geen officieel en legaal gebruik van die gegevens maakt voor de organisaties er vervolgens dan aan de klok gaat hangen als er iets mis is gegaan met de beveiliging van die gegevens. En er zijn zat grote en kleine bedrijven die illegaal je gegevens in handen hebben en verwerken. Zo wordt het nut door omstandigheden enorm beperkt, maar nmm zeker niet nutteloos. Regels en wetten geven ook signalen af wat normaal gedrag behoort te zijn.
Het effect mag nutteloos aanvoelen, maar het is nog altijd effectiever dan totaal niets doen en het maar normaal blijven vinden dat dit soort praktijken nog steeds voorkomen.
Hier moet een hack gemeld worden als er gegevens van minimaal 10.000 mensen mee zijn gemoeid.
LPAR's met op elke node een database met 9.999 records dus... :P

Maar serieus, hoe houdbaar/meetbaar/controleerbaar is dit. Wanneer een webserver gehackt wordt, wil dat niet zeggen dat de database geraakt/gelezen is. Of dat een applicatieserver lek blijkt te zijn. Boeiender is welke transacties bekeken of gemanipuleerd worden.

Wat als je firewalls tussen je eigen systemen hebt - heb je het dan over gescheiden machines, over DE totale omgeving of je totale klantenbestand? Kortom, beetje verfijning is op z'n plaats.
weet je dat dat vaak gedaan word met geldbedragen "smokkelen", bijv. als het onder de 10.000 euro blijft, mag de douane niks doen/checken (voorbeeld he, weet exacte bedrag niet), dus doen ze 9.900 ofzo :+
De Tweede Kamer besprak vorige week de Wet Computercriminaliteit II. De motie zal verder uitgewerkt moeten worden en in juni 2006 weer in de Tweede Kamer worden besproken.
ffs neem die wet nou eens een keer aan, het voorstel (zoals in zijn huidige vorm) ligt er al sinds 2001. Elke keer is er weer een idioot die nieuwe dingen bedenkt die deze wet weer vertraagd.
Zolang CCII niet aangenomen is zijn dingen zoals een DDoS of zelfs een virus in Nederland niet strafbaar.

CCII bouwt voort op de Convention on Cybercrime (waar heel veel landen aan mee gewerkt hebben) en zou eigenlijk in 2003 in het landelijke wet ingevoerd moeten worden.

En even voor de paranoid mensen hier. CCII is niet evil, het bevat een aantal correcties in the huidige wet (e.g. logica fouten) en een zooi dingen die men al tijden niet acceptabel acht (DDoS, Virus, etc.). Al die belachelijke dingen die (voor namelijk door Donner) bedacht zijn in de laatste paar jaar zijn niet doorgevoerd in CCII (ze hebben alleen de invoeren geremd).

Eerst de huidige verandering doorvoeren. Daarna pas waan ideeen behandelen.
@Koffie

Nee, want dan denkt iedereen(nog steeds) dat het je gaat om de hardware. En de gegevens, tsja, die kun je toch niet verpatsen? ;)
hacken melden.
als we de orginele definitie bij halen krijgen ze het druk.
iedereen die opensource proggels hebben aan gepast aan hun eisen en wensen opsturen naar den haag.
email ik mijn grafische console system monitor.
Naar voorbeeld van de USA? Daar heeft een rechter deze week in Californie besloten dat Creditcard maatschappijen hun klanten juist niet hoeven in te lichten als hun gegevens (digitaal) gestolen zijn.
Het is gewoon naar voorbeeld van goed fatsoen richting de klanten dat je dit soort maatregelen gaat verplichten. Dat een paar staten in de USA het verplicht hebben gesteld en enkele andere staten weer expliciet niet verplichten is geen voorbeeld van een gewenste situatie.
Dus ze willen perse dat het gemeld wordt dat ik een dtabase gehacked heb, en zodoende beschik over een paar duizend potentiele kopers wegens de naw gegevens, maar het hoeft totaal niet in de openheid gebracht te worden als ik 's nachts met een bivakmuts op die complete server onder mijn arm mee neem :?
Ik weet niet goed wat ik ervan moet denken.
aan de ene kant ben ik er op tegen omdat ik het belachelijk vind dat je op welke manier dan ook gedwongen wordt iets te doen.
Ik kan me voorstellen dat er een strategische reden kan zijn om juist te voorkomen dat zoiets naar buiten komt anders dan het in de doofpot krijgen.

Aan de andere kant vind ik het iets goeds, we praten hier inderdaad wel over persoonsgegevens. En als mijn persoonsgegevens zouden worden gestolen op welke wijze dan ook vind ik het prettig als ik daar inderdaad van op de hoogte wordt gebracht.

Maar om dit soort punten goed de definieeren is aardig wat tijd nodig. ik denk dat El_Muerte_[TDS] een punt heeft in dat ze iets moeten doen, aannemen of verwerpen van CC-II.
Missende definities kunnen dan worden meegenomen in CC-III.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True