Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

Nederlandse overheidsdiensten moeten wellicht hackers in dienst nemen om systemen te beschermen tegen kwaadwillenden. Dat zegt CDA-Kamerlid Raymond Knops. Ook zouden kritieke systemen redundant moeten worden ontworpen.

CDA-Kamerlid Rayomond KnopsHet in dienst nemen van hackers zou ervoor moeten zorgen dat overheidssystemen beter getest worden op beveiliging, aldus Knops tegenover Tweakers.net. Op dit moment zijn er nog geen beveiligingsexperts in dienst die zich puur en alleen met het vinden van beveiligingsrisico's bezighouden, zegt Knops die in de fractie van het CDA de woordvoering voor Defensie doet.

Het in dienst nemen van hackers door de overheid is geen noviteit. De Verenigde Staten doen dat al en ook de NAVO heeft zogenoemde 'red teams': hackers die de beveiliging testen. "Je zult iets nationaals moeten doen. We kunnen niet achterover leunen en wachten tot de NAVO voor ons met een oplossing komt. Daar moeten we zelf ook actief mee bezig zijn."

Daarnaast is het volgens Knops belangriijk dat nieuwe kritieke systemen en netwerken redundant worden ontworpen, om te voorkomen dat ze bij een storing of aanval snel uitvallen. "Bij een nieuwe inrichting van de staat, bij bijvoorbeeld energiediensten, moet je die redundancy inbouwen. Als je dat niet doet, krijg je een domino-effect."

De Tweede Kamer zal zich in de nabije toekomst gaan buigen over maatregelen voor de beveiliging van overheidssystemen en databases. De maatregelen vloeien voort uit de Nationale Cyber Security Strategie, die eerder dit jaar is gepresenteerd. Knops stelde eerder voor dat er een brede maatschappelijke discussie moet komen over de bereidheid van mensen om een deel van hun privacy in te leveren om ict-systemen veiliger te maken.

Moderatie-faq Wijzig weergave

Reacties (88)

Op dit moment zijn er nog geen beveiligingsexperts in dienst die zich puur en alleen met het vinden van beveiligingsrisico's bezighouden, zegt Knops die in de fractie van het CDA de woordvoering voor Defensie doet.
Met andere woorden, je hebt geen hackers nodig, je hebt een team nodig die deze testen goed kan doen. (Oud) hackers hebben veel ervaring, maar er zijn ook zat gespecialiseerde bedrijven die dit soort testen goed kunnen uitvoeren.
Gespecialiseerde bedrijven leveren wellicht meer kwaliteit, maar kosten doorgaans ook veel meer dan beveiligingsexperts in dienst van de overheid. Kijk naar het verloop van het Elektronisch Patientendossier, waar ruim 300 miljoen euro is ingestoken, waarbij vraagtekens gezet kunnen worden (zie ook dit artikel + afbeelding). Echter op de site van Nictiz, waar >124mln euro naartoe is gegaan over een periode van 10 jaar, werken slechts 91 medewerkers en dat jaar ervoor zelfs 29 minder.

Wat dat betreft kun je beter zelf de nodige specialiteit in huis halen, op die manier valt er nog het een en ander te besparen.
Natuurlijk, maar hackers bewijzen dat deze gespecialiseerde bedrijven toch niet goed genoeg zijn.
Onzin.
Hackers bewijzen dat die gespecialiseerde bedrijven te weinig ingehuurd worden.
Leuk om te zien dat een groot deel van de dingen die naar voren zijn gebracht in een gesprek met Tweaker arnoudw toch meegenomen zijn. En waarschijnlijk ook de aanleiding zijn van de dit artikel.

Meer hierover in zijn TweakBlog:
Gewoon een beetje bloggen: CDA over ict en beveiliging

[Reactie gewijzigd door DRaakje op 10 juni 2011 10:44]

Ehhh... zie auteur van het artikel en van het tweakblog. I'm one and the same. Ik wilde volgens van mijn tweakblog op de hoogte stellen van het hele gesprek, maar dit was gewoon nieuws wat ik voor de fp niet kon negeren :)
Uit je blogpost, met betrekking tot deze twee punten:
Harde uitspraken over voorstellen deed hij niet, maar hij toonde wel interesse
Dus met betrekking tot uitzonderlijke journalistieke competentie op je C.V. zou ik stellen; grapjas.
Hij zei niet: ik ga initiatiefvoorstellen maken om dit realiteit te maken. Dat viel ook gezien de aard van het gesprek niet te verwachten. Over deze twee zaken - hackers in dienst nemen en redundancy - zei hij wel dat de overheid dat zou moeten doen. Bij de rest bleef het bij interesse, vandaar dat die niet terugkomen in het nieuwsbericht :)
Je hebt gezien wie dit artikel heeft gepost? :)
Goh, dat ze daar nu achter komen. Grote multinationals en banken werken al jaaaaaren op deze manier. G
Het is beter dat ze er nu achter komen, dan wanneer het al te laat is. Gelukkig een keer positief nieuws over politiek en ICT :D
Een kamerlid laat een paar nogal zwak onderbouwde luchtballonnetjes op en dan zijn onze tweakertjes al tevreden. Het risico van cyberaanvallen op on-line diensten is onvergelijkbaar met het risico ervan op andere infrastructuren.
Verder is het idee dat de inzet van "hackers" de oplossing zou zijn, volstrekt niet onderbouwd. De beschreven oplossing zou gewoon deel horen uit te maken van een degelijk ontwerp van een on-line dienst, wat echt al eens eerder gedaan is. Hier is dus geen enkele bemoeienis van de overheid nodig noch gewenst. De overheid heeft een groter probleem met ICT zaken en de politiek zou zich beter met de oorzaken daarvan bezig houden dan met vorrstellen in de categorie beveiligingstheater.
Een degelijk ontwerp, realisatie en hosting heeft op zich weinig met beveiligingsgaten te maken. Tuurlijk kun je de meeste voor de hand liggende beveiligings problemen voorkomen door het volgen van best practices.

Maar zowel de architect, developer als systeem beheerders zijn geen fulltime beveiligings expert. Wij huren regelmatig (verschillende) hackers in om onze beveiliging te testen. Een aantal jaren geleden wist een hacker zich via een bug in Windows zichzelf aan een bepaalde groep toe te voegen. Als jouw applicatie dat vervolgens niet zelf controleert bij de domain controller, heb je dus een beveiligings probleem.

De betreffende issue kreeg bij Microsoft wel een hoge prioriteit, maar was niet als kritisch bestempeld omdat je al toegang tot het systeem moet hebben. Bij sommige hackers was dit punt al ruim 6 maanden bekend voordat Microsoft met een bugfix kwam.

Daarnaast is het niet verkeerd als overheid gewoon hackers in dienst neemt. Laat ze maar lekker struinen over de overheid websites en hun systemen. Dan kun je ze ook minimale toegang tot de systemen geven en controleren of de hacker zijn rechten niet weet te upgraden.

Daarnaast is ICT zo'n belangrijk deel van onze samenleving dat ik eigenlijk zelfs verbaasd ben dat dit nog niet gebeurd. Dan kun je wel roepen dat het probleem bij de bron aangepakt moeten en dit klopt wel een beetje, maar met die instelling kun je ook de politie afschaffen want in een ideale wereld is er geen criminaliteit en houd iedereen zich aan de regels..
Het is wel degelijk een gigantisch veiligheidsrisico om hackers in dienst te nemen. De overheid moet gewoon een eigen dienst hebben om de interne security te controleren.

Er is niets wat hackers kunnen leren wat andere security experts ook kunnen leren.

Daarnaast wil je dus niet iemand inhuren die gevoelig is voor inkomsten aanbiedingen van buitenaf voor (allerhande klusjes wat wellicht ook data-overdracht inhoud), maar dus iemand die gewoon vast in dienst is.

De oplossing hier is niet de privé gegevens van de staat uitbesteden en zeker niet aan willkeurige "freelance" hackers.

Ik denk dat dit de zoveelste indicatie is dat er een ministerie van IT zaken moet komen om dit soort vreselijke verkeerde plannen meteen in de kiem te kunnen smoren.

[Reactie gewijzigd door fevenhuis op 10 juni 2011 14:51]

Er is niets wat hackers kunnen leren wat andere security experts ook kunnen leren.
Technieken, ja die kun je aanleren. De oorspronkelijke (en naar mijn mening enige juiste) betekenis van hacker is iemand die systemen niet persé gebruikt zoals bedoeld, maar zoals mogelijk is. Hacken heeft dan ook niet noodzakelijkerwijs met beveiliging te maken maar meer met creativiteit, out-of-the-box denken.

Freelance of in vaste dienst zegt helemaal niets over betrouwbaarheid. Een freelancer kan super betrouwbaar blijken en uitsluitend bezig zijn met het belang van de klant. En een medewerker in vaste dienst kan er best nog wel eens bij klussen. Ik denk dat screening (door AIVD) en continue monitoring veel meer garanties bieden (alhoewel 100% niet mogelijk is). En een psychologisch onderzoek kan ook onderdeel uitmaken van de sollicitatieprocedure. Wat je denk ik zoekt is - behalve kundigheid en vaardigheid - iemand die oprecht principes heeft met betrekking tot zijn werk en emotioneel stabiel is.
Het is in ieder geval goed dat ze het eindelijk eens over beveiliging gaan hebben, nu nog toepassen.
Joh, dat gebeurt al jaren.

Vrijwel alle kritische systemen, in elk geval bij de rijks-overheid, worden redundant uitgevoerd. Sommige hebben zelfs back-ups tot aan de andere kant van de wereld (voor het geval dat...)

Een een hacker in dienst nemen... zodra je dat doet is het, of geen hacker meer en telt 'ie niet meer mee in het lijstje van de heer Knops, of je bindt de kat op het spek. En wil je dat nou écht ?

'tuurlijk, er gaat wel eens wat mis, maar het is ook een glazen huis waarin ook nog eens met grote aantallen wordt gewerkt. (denk b.v. aan 17 miljoen Nederlanders, plus nog het e.e.a. over de grens, plus nog vele gegevens die door de douane e.d. worden gebruikt)

Stel dat er in een promile (en dat is dus slechts één-op-de-duizend gevallen) iets mis gaat, dan raakt het al meteen duizenden mensen.
Meteen staat de Telegraaf daar op de stoep en kunnen wij Tweakers weer eens meewarig gaan denken dat wij het allemaal véééél beter kunnen. Ja-ja..

[Reactie gewijzigd door T-men op 10 juni 2011 16:05]

Ik richt al jaren dat soort systemen in, maar ik moet zeggen dat meer hackers (dus niet crackers) toch zeker wel verbetering gaat bieden.

Backups tot de andere kant van de wereld en veelvoudig redundante uitvoeringen zijn leuk en aardig, maar iemand moet met het idee komen. Je krijgt dan een beetje een waterval:

1. Hackers zien/bedenken iets, en maken proof-of-concept
2. Architecten en specialisten bekijken de zaak en verwerken het tot in project fase
3. Programmeurs (code kloppers) zetten het om in productieversie

Dan krijg je dus dat je me de creativiteit van 1, de ervaring en deskundigheid van 2 een product kan maken met 3. Als je nummer 1 weglaat krijg je dat nummer 2 dat gaat overnemen, en dan kom je in een 'te lang in het vak' situatie terecht. Zonder hackers lijkt het bijna stilstand als je kijkt naar wat er qua progressie in de software gebeurt.
De door jou opgegeven volgorde lijkt me ver van de werkelijkheid.
Hackers kan je moeilijk als de eerste stap zien, het is eerder de voorlaatste stap, vlak voordat het opengesteld word aan het publiek (+ eventueel erna) zouden ze het moeten testen waarna de software architect en de programmeur er hun lessen uit trekken en het probleem aanpakken.
Er word niet gesuggereerd dat het de oplossing is, en natuurlijk hoort de overheid zich met alles te mogen wat ze nuttig lijkt. En zie hier, deze keer kan het nog eens nuttig zijn ook :P, want juist een team van hackers dat los staat van het bedrijf wat de opdracht krijgt om het systeem te maken zou zeer nuttig kunnen zijn.
Hackers in dienst van de overheid die overheidssystemen proberen binnen te dringen zijn maar matig effectief. Mss wel in het signaleren van problemen, maar daarna mogen ze "buitgemaakte" data niet op pastebin droppen en de systemen niet platleggen of "defacen".

Organisaties houden problemen liever onder de pet en prioretiseren hun werk. Als problemen zich niet "in het wild" voordoen, heeft het lage prio. Dit is de standaard; hackers die nieuwe lekken alleen verantwoord melden horen daar nooit meer wat van, op een paar bedrijven na en pas na jaren van schade en schande.

Dus zonder dreiging van full-disclosure, ook niet na een periode, is er geen noodzaak om te fixen. Als je alleen het signaleren van problemen al goed vind, kan het zin hebben, maar verwacht niet dat de stats daarvan openbaar worden, dat trekt externe hackers aan. De politiek incl deze Raymond Knops zal nooit akkoord gaan met enige vorm van disclosure.
misschien een door de overheid gelegaliseerde stichting die onafhandeklijk van die zelfde overheid en diens leveranciers mag hacken... en daar op 'verantwoorde' weize ook gegevens over 'moet' publiceren...

dan denk ik aan een systeem met....

data 1 (zeer vertrouwelijk, bijv staatsgeheimen) 6 maanden tot publicatie.. eventueel te verlengen naar 9 maanden

data 2 (vertrouwelijk - privacy gevoelige info van burgers en bedrijven) ... 3 maanden - eventueel te verlengen naar 6...

data 3 (data - waarvan deze natuulijk vertrouwelijk is, maar waarvan de schade beperkt blijft toch, schande en pollitiek)... 4 tot 6 weken...


na die periodes moeten er raportages komen met uitgebreide informatie over wat er gelekt is en hoe... (zonder in eerste instantie de data daadwerkelijk te posten)... eventueel wel een brief sturen aan alle betrokkenen wanneer er persoonsgegevens openbaar waren...
Volgens mij is het beter goede programmeurs in te huren en goed design schrijven dan er later nog eens hackers op los te laten. De meeste Hacks zijn mogelijk door onkunde of design fouten. zoals een SQL injectie op een login pagina. Testen begint altijd bij het reviewen van het design
Een hacker heeft vrijwel altijd een achtergrond als programmeur lijkt mij. Het is moeilijk om in te breken in een systeem waarvan je niet weet hoe het werkt.
Alleen voor bufferoverflows en dat soort hacks heb je echte kennis van het systeem nodig. En de target software in debug modes. Voor SQL injectie en cross site scripting heb je zeer weinig product kennis nodig. Als er plotseling een website over zijn nek gaat omdat je een < of een ' hebt ingetikt kan je met trial en error. Een exploit in elkaar draaien.

Daarbij Hacks maken meestal gebruik van excepties in de software. Terwijl testen meestal functioneel is. Je test wat het moet doen. Niet wat het ook kan doen
Zullen we eens een lamp pakken.
Deze kan aan en uit. niet zo veel te testen twee statussen en twee transities . Totdat je gaat testen van een lamp ook kan.
-Wat doet de lamp bij -100 tot + 500 graden Celsius in stappen van 10. Doet die het als het regent van 0.1 tot 100 mm. Wat voor luchtdruk kan dat ding aan.
Nog een paar dimensies noemen en je kan voor de rest van je leven een lamp testen.
IS DAT GOED TESTEN?????

[Reactie gewijzigd door daft_dutch op 10 juni 2011 13:50]

Bij goed testen doe je ook negatief testen. Je probeert het systeem over de zeik te krijgen door foutieve invoer te geven. Het systeem moet dit uiteraard weerstaan
Goede software krijg je alleen door goed te testen en de fouten op te lossen. Dus je zult goede testers nodig hebben, als die SQL injection gaat proberen kun je ze hackers noemen.
Ik denk dat ze het nu publiekelijk aangeven maar het zou mij niks verbazen dat ze al teams hebben binnen de AIVD (of MIVD) die zich hiermee bezig houden.
"Ook zouden kritieke systemen redundant moeten worden ontworpen."

"Bij een nieuwe inrichting van de staat, bij bijvoorbeeld energiediensten, moet je die redundancy inbouwen. Als je dat niet doet, krijg je een domino-effect."

Ja, dat lijkt me nogal wiedes. Als dit nieuws is voor de overheid maak ik me ernstig zorgen over de stabiliteit van hun huidige systemen.
Niet alleen bij de overheid. Genoeg bedrijven die daar echt niet goed genoeg over nadenken. Dat weet ik uit mijn werkzaamheden van de afgelopen jaren bij verschillende klanten. Vaak gaat het om functionaliteit af te krijgen voor zo min mogelijk geld, natuurlijk komt daar wel iets meer bij kijken, maar security wordt vaak naar de achtergrond verschoven.

Mijn insteek is dan ook developers hebben die bekend zijn met veel beveiligingsproblemen. Met dit in je achterhoofd programmeer je al wel redelijk veiliger, al is dat meer een pluspuntje dan dat het echt het probleem gaat oplossen. Met weinig inspanning (developer wat over security bijbrengen) kan zeker wel wat helpen.

[Reactie gewijzigd door serhat op 10 juni 2011 10:47]

Dat particulieren geld proberen te besparen op kritieke systemen is in economisch opzicht logisch. Minder uitgaven betekent voor hen meer inkomsten, uiteindelijk. Dat moeten ze ook lekker zelf weten: Het is aan de beheerders, devs en directeuren wat ze eraan uit willen geven.

Echter van de overheid kunnen we zeggen dat die in dienst staat van ons allemaal, en daar mogen we redelijkerwijs van verwachten dat die hun systemen (althans, de mission critical systemen) redundant uitvoeren. Daar mogen we ze ook op aanspreken, vind ik.
Nou moeten we niet ineens gaan doen alsof redundancy de heilige graal der oplossingen is voor alle problemen.

Redundancy brengt ook extra complexiteit met zich mee en ik heb het al eens eerder gezien bij een klant: Die had een aantal systemen netjes redundant uitgevoerd, Op een gegeven moment treedt er een storing op en vervolgens weet men niet hoe dit opgelost moet worden. Uiteindelijk wordt de hele zaak alsnog down gebracht en gefaseerd weer in leven geholpen.

Daarnaast wordt vaak ook vergeten dat wanneer je complete systemen redundant uitvoert, ook bugs redundant uitgevoerd worden. Of wanneer je bijvoorbeeld 2 clusternodes op 1 elektrische groep aansuit en deze groep uitvalt, je alsnog niks hebt.

En zo zijn er legio voorbeelden te noemen waarbij redundancy op het eerste gezicht heel leuk klinkt maar wanneer je er verder over nadenkt, het de zaak onnodig complex maakt.

Je moet jezelf ook weleens de vraag durven stellen of bepaalde dingen wel werkelijk zo mission critical zijn als wordt voorgehouden. Is de impact bij een eventuele uitval werkelijk zo groot en, zo ja, kunnen we die niet anders opvangen? Heiligt het doel de (financiële) middelen?
Ik ben de eerste die toegeeft dat er door omstandigheden zelfs met goed redundant uitgevoerde systemen van alles fout kan gaan. Het is ook zeker geen ultieme eindoplossing, maar het is wel een extra verzekering in de verdedigingslinie.

Natúúrlijk moet je goed nadenken over wat er nu echt mission critical is, en uiteraard brengt redundancy extra complexiteit met zich mee. Ook moet de overheid niet onnodig veel geld uitgeven (toch ze hebben wel meer speling dan het bedrijfsleven).

Echter zaken zoals inloggen op je DigiD lijken me mission critical, en een groot gedeelte van de interactie tussen burger en overheid gaat op zijn gat als dat soort systemen uitvallen. Dat soort dingen mogen wat mij betreft met failover clustering uit worden gevoerd.
Daarnaast wordt vaak ook vergeten dat wanneer je complete systemen redundant uitvoert, ook bugs redundant uitgevoerd worden. Of wanneer je bijvoorbeeld 2 clusternodes op 1 elektrische groep aansuit en deze groep uitvalt, je alsnog niks hebt.
Je geeft het zelf al aan: "complete systemen".
Een systeem is echter niet een appliance die in je serverrack hangt, maar het totaal aan voorzieningen die zorgen dat een dienst, service of product kan functioneren.
En ja, vaak gaat men dan te kort door de bocht.

Echte redundantie houdt in dat je je 'producieproces' goed in kaart hebt en alles afdekt waar je zelf invloed op hebt. Een bedrijf dat daadwerkelijk zaken produceert kan zelf geen invloed uitoefenen of een leverancier wel [op tijd] kan leveren.
Maar men kan wel zorgen dat men niet afhankelijk is van 1 leverancier en dus 2 of meer leveranciers achter de hand hebben. Dan heb je gedaan wat je zelf kan doen.

Ik heb zelf meegeholpen bij een bedrijf dat hun complete 'redundantie', een fysieke uitwijklocatie, ging verhuizen omdat de hoofd- en uitwijklocatie afhankelijk waren van dezelfde electiricteitscentrale. Zou deze een probleem krijgen, dan was de uitwijklocatie direct ook getroffen.

Gaat dat ver? Ja, maar er zijn scenarios denkbaar dat je zover wilt of zelfs moet gaan.
En dit illustreert dat je heel ver moet gaan voordat je echt kan zeggen dat je alles hebt gedaan om redundantie in te bouwen.
Het lijkt me sterk dat dit nieuws is voor de overheid. Voor dit Tweede Kamerlid misschien wel, maar dat zegt natuurlijk niets over de mensen die er echt op dagelijkse basis mee bezig zijn bij het Rijk.
Ik erger me er weer een beetje aan dat men weer de term "hackers" kopt. Een hacker is iemand die iets voor elkaar kan krijgen "buiten de daarvoor bedachte kaders". Wie zijn dan deze "hackers" die de overheid in dienst zou moeten nemen en wat zouden die eigenlijk moeten gaan hacken?

Beter is om een stel goede architecten in dienst te nemen die kaas hebben gegeten van beveiliging, bekend zijn met hoe hacken werkt én betrokken zijn bij het daadwerkelijk ontwikkelen van beschermende maatregelen (qua software én procedures).

Hacker als term is een buzzword geworden. Ga es nadenken wat je echt nodig hebt.
Ik erger me er weer een beetje aan dat men weer de term "hackers" kopt. Een hacker is iemand die iets voor elkaar kan krijgen "buiten de daarvoor bedachte kaders". Wie zijn dan deze "hackers" die de overheid in dienst zou moeten nemen en wat zouden die eigenlijk moeten gaan hacken?
ik denk dat je daar je eigen vraag al beantwoord hebt. de bedoeling is dat ze gaan kijken of ze binnen kunnen komen buiten de daarvoor bedachte kaders, wat overigens een erg breed begrip is.

valt bijvoorbeeld social engineering daarbinnen? bijvoorbeeld, een helpdesk een wachtwoord van een email box laten aanpassen door ze te overtuigen dat jij de eigenaar bent? of verwachten ze puur en alleen dat je letterlijk 'inbreekt' op bepaalde machines?
Hacker als term is een buzzword geworden. Ga es nadenken wat je echt nodig hebt.
Idd; een politiek buzzword met een onjuiste negatieve betekenis.

Als de redactie van een technische ICT website daar geen tegenwicht aan biedt, wie dan wel?
Ik erger me er weer een beetje aan dat men weer de term "hackers" kopt. Een hacker is iemand die iets voor elkaar kan krijgen "buiten de daarvoor bedachte kaders". Wie zijn dan deze "hackers" die de overheid in dienst zou moeten nemen en wat zouden die eigenlijk moeten gaan hacken?
volgens wiki:
Een hacker is in het dagelijks spraakgebruik meestal iemand die inbreekt in computersystemen.
In het bijzonder wordt het woord hacker gebruikt in volgende betekenissen:
  • Iemand die een programmeertaal of -omgeving zo goed kent dat hij/zij zonder zichtbare moeite een programma kan schrijven
  • Iemand die een technologie bedenkt, ontwerpt, uitwerkt, implementeert, test, en verbetert
  • Iemand die onconventionele maar adequate oplossingen bedenkt tegen lekken, fouten en problemen van andere aard met behulp van beschikbare middelen
  • Iemand die tracht om via andere dan de officiële wegen een computersysteem binnen te dringen teneinde een beveiligingsprobleem te kunnen aantonen en mogelijk verhelpen
en:
Een cracker is iemand die criminele activiteiten met computers uitvoert.
De term hacker is dus wel correct, omdat deze probeert fouten te ontdekken en te verbeteren. Terwijl een cracker fouten misbruikt voor "andere" doeleinden.

[Reactie gewijzigd door Terminal13 op 10 juni 2011 14:17]

Raar taalgebruik hier. Wat is een "hacker". volgens deze man?

Het gaat er gewoon om dat de overheid de eigen informatiebeveiliging serieus gaat nemen. En dat doe je o.a. met periodieke penetration tests en audits.

Op deze manier geformuleerd is het alsof wanneer je fysieke beveiliging wilt, je het erover hebt dat de overheid "vechtersbazen" in dienst zou moeten nemen.
Zoiets dacht ik nu ook, de politie moet criminelen in dienst nemen zodat ze weten hoe ze hun werk moeten (gaan) doen / hoe ze te werk gaan. Hoe komt het toch dat als het op ICT dingen aankomt we ineens heel anders gaan denken ? Geen enkele andere sector lijkt zo te werken. Ik zeg niet dat het niet goed is, maar soms lijkt het de omgekeerde wereld.
Wat je hier zegt zit ook vol met verkeerd begrepen definities. Een hacker is zoals hieronder wordt uitgelegd iemand die buiten de gebaande paden gaat om iets te bewerkstelligen - dat is zelden crimineel. Hacker als mediabuzzword slaat niet eens exclusief op hackers met kwade intenties. De minister bedoelt waarschijnlijk hacker in de zin van een niet-professionele (iemand die het niet voor zijn werk doet - 'professioneel' is namelijk ook zo'n weinig begrepen woord) security-expert. Iemand die als passie en hobby het ontwerpen en op de proef stellen van beveiliging heeft.

Je kunt het je afvragen hoeveel verschillend een 'hacker' in deze zin is van een professionele security-expert, maar het kan wel degelijk zo zijn dat hackers een effectievere en goedkopere bron zijn om uit te putten (zeker als ze zichzelf hebben bewezen om de materie goed te kennen) dan de established beveiligingsbedrijven die een hoop overhead kunnen hebben.
http://nl.wikipedia.org/wiki/Hacker

Die "inbreekt" staat er al als eerste regel. Als een inbreker inbreek is dat dan ook een manier om binnen te komen anders dan de voordeur ;) Een hacker ben ik met je eens in niet per definitie strafbaar, maar soms lijkt het hier ook een beetje op zaligmakkerij.

Ze proberen op de een of andere manier ergens binnen te komen waar ze niet binnen horen te komen. Of dat nou is om aan te tonen dat het systeem niet waterdicht is of niet. Als een inbreker binnen is geweest en vervolgens zonder iets mee te nemen een briefje op je tafel legt van "je huis is niet goed beveiligd", is hij nog steeds strafbaar (huisvredebreuk).

Maar als een hacker zoiets doet dan moeten we dat allemaal maar in dank af nemen want hij heeft laten zien dat er iets niet okay is. In mijn ogen nog steeds de omgekeerde wereld, maar dass mijn mening }>
Raar taalgebruik hier. Wat is een "hacker". volgens deze man?
Dat vraag ik me ook af.
Het lijkt erop dat het idee heerst dat een deskundige op gebied van ICT beveiliging een hacker is, ongeveer alsof een slotenmaker een inbreker is.
Wat een onzin, net of bij de overheid de kritische bedrijfs systemen niet redundant zijn uitgevoerd, dus al die UX en Vmware clusters bij ons bestaan niet ? En de Informatiebeveiliging afdeling ook zeker niet ? En ja , ik werk bij een rijksoverheid, en ja het kan altijd beter de vraag is alleen of wij (de belastingbetaler) daarvoor willen betalen .
Wat een onzin, net of bij de overheid de kritische bedrijfs systemen niet redundant zijn uitgevoerd...
In het blog dat de aanleiding is van dit gesprek met de CDA heeft de schrijver het over redundantie van meer dan alleen overheidssystemen; oa over het feit dat pinnen en OV-kaarten deels verlopen via hetzelfde netwerk als mobiele telefoon. Valt dat netwerk uit, dan ligt heel Nederland op z'n gat. Ook daar zou redundantie geen kwaad kunnen
Met alle respect, maar volgens mij weet deze meneer Knops zo'n beetje alle open deuren in te trappen. Redundantie, beveiliging beter bekijken.. Toch oud nieuws eigenlijk? Discussie: prima en altijd goed, maar het wordt nu een beetje gebracht als nieuws, dat lijkt me overdreven..?
Zo gaat dat in de politiek. De gemiddelde politicus is een optelsom van ijdelheid, getting things done mentaliteit plus onwetendheid. Nu zijn ijdelheid en de scoringsdrift op zich best goede eigenschappen. Gebrekkige inhoudelijke kennis is hun zwakke punt. En veroorzaakt helaas vaak brokken, op een toevalstreffer na.

Dat komt altijd mooi naar voren als men dingen preekt waar ze geen kaas van hebben gegeten zoals de economie, ict, infrastructuur, volksgezondheid en welzijn. Eigenlijk alles behalve datgene waar ze als partijlid voor staan, waarin ze zijn gebrainwashed. CDA = boeren, VVD = ondernemers en rijken, PVDA = ehm weet ik niet meer, SP = armen etc.

Deze arme rekel (de heer Knops) krijgt een lading dossiers van zijn departement voorgeschoteld en moet daaruit zijn mening halen. Gegarandeerd lachen met de politiek want ijdelheid en scoringsdrift + onwetendheid maken de boude uitspraken per definitie humoristisch.

[Reactie gewijzigd door Fornoo op 10 juni 2011 11:42]

<ironie>
Het is jammer dat we allemaal 'weten' dat de gemiddelde politicus niet deugt, geen kennis van zaken heeft en nog veel meer negatieve eigenschappen.
Eigenlijk kunnen we het zelf allemaal wel beter, maar ja, daar gaan we niet aan beginnen! Kost veel tijd, betaald slecht en dankbaarheid kun je wel vergeten.
En nog het belangrijkst, voordat je het weet ben je zelf ook zo.
</ironie>
Weet je wat ironie is?

Dat er legio mensen zijn die dit 'dossier' (of welk dossier dan ook) beter begrijpen en kunnen oplossen. Wel inhoudelijke kennis hebben en direct zouden tekenen voor een salaris van een ton of meer per jaar, maar geen ellebogenvet en scoringsdrift hebben. Mensen die eigenlijk heel normaal zijn, en logische oplossingen bedenken. Oplossingen die niet sexy zijn waar dus niet mee gekoketeerd mee kan worden tijdens borrels. Zo simpel zit het in elkaar. Helaas.

Dankbaarheid krijg je vanzelf als je je inzet voor de maatschappij en niet voor eigenbelang. Iets waar veel politici moeite mee hebben.

[Reactie gewijzigd door Fornoo op 10 juni 2011 14:46]

Met alle respect, maar volgens mij weet deze meneer Knops zo'n beetje alle open deuren in te trappen. Redundantie, beveiliging beter bekijken.. Toch oud nieuws eigenlijk?
Voor ons wel, voor de politiek niet.
Ik vond het vooral verrassend te zien hoezeer de politiek wat dit soort dingen betreft op een eiland zit.

Het nieuws is dat dit het begin kan zijn van een bruggetje tussen dat eiland en de realiteit.
Uh, hackers? Ze bedoelen natuurlijk beveiligingsexperts. Zo heten die mensen.

Hm. Het is heel makkelijk om lekker te bashen naar aanleiding van dit bericht. Maar zijn kritische overheidssystemen nog niet redundant? In welke eeuw leven die mensen?

Cyberstrategie? Hm. Is die niet gewoon 20 jaar te laat?

Ik weet het, ik weet het, dit klinkt niet erg opbouwend, maar er is hier een hoop mosterd na de maaltijd. Waarom lijken overheden niet te leren van het bedrijfsleven? Waar ik werk is het normaal om eerst een strategie te ontwikkelen, dan je richtlijnen en je procedures - vóórdat je ook maar íets gedaan hebt.
Nu zitten overheden 'opgescheept' met een iets te groot netwerk waarvan ze zien dat het een veelbepalend fenomeen is, maar ze zijn te laat om nog invloed uit te oefenen.
En dat gaat ook niet meer lukken. Zoals ook in grote bedrijven is het virtueel onmogelijk om door het maken van beleid de gevormde cultuur nog onder controle te krijgen.
Uh, hackers? Ze bedoelen natuurlijk beveiligingsexperts. Zo heten die mensen.
Beide termen zijn juist.
[...]

Beide termen zijn juist.
Uit de Van Dale:
hac·ker [hekker] de; m,v -s iem die inbreekt in computers
Een beveiligingsexpert breekt niet perse in in computers. Een hacker hoeft ook geen beveiligingsexpert te zijn. Immers: met standaard open frameworks (zoals Metasploit) met voorgebakken exploits is hacken een eitje, zelfs voor niet-beveiligingsexperts.

[Reactie gewijzigd door The Zep Man op 10 juni 2011 11:12]

VanDale is niet iets wat je moet aanhouden voor de definitie ;)
Idd, beter allemaal onze eigen definitie, zodat er makkelijk misverstanden ontstaan over wat er wordt bedoeld. Daar worden we allemaal beter van.
De van Dale weet duidelijk niet waar ze het over hebben....
Lijken wel politici :p
Beveiligingsexperts kunnen ook alleen consultant zijn, en hebben dan nog steeds geen kennis van zaken (qua programmering).

De term hacker: "iemand die veel van computers afweet" (bron: simple wiki). Dit gaat dus verder dan "expert", zeker wanneer men alleen maar rapporten uit het hoofd kent...
Knops stelde eerder voor dat er een brede maatschappelijke discussie moet komen over de bereidheid van mensen om een deel van hun privacy in te leveren om ict-systemen veiliger te maken.
Nee. Je kan ICT systemen prima veiliger maken zonder de privacy van de bevolking op te offeren. Het één hoeft niets met het ander te maken te hebben. Gebruik dus ook niet het één als een excuus om het ander in te voeren.

Ga eerst maar eens een goede kosten-batenanalyse maken en SMART-gebaseerde doelen neerzetten.

[Reactie gewijzigd door The Zep Man op 10 juni 2011 11:02]

Voer verplichte 3-factor authenticatie voor alle overheidssystemen in, verbied anonieme accounts en stel het delen van accountsgegevens strafbaar en zorg voor goede onafhankelijke auditing. Als dat eenmaal geinplementerd kunnen we eens over privacy gaan praten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True