Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties

Securitybedrijven die onder andere 'lekke' gemeentesites moeten onderwerpen aan een grondige audit, hoeven zelf niet aan standaarden te voldoen en worden niet gecontroleerd op hun expertise. De sector roept op tot standaarden.

In tegenstelling tot bijvoorbeeld Duitsland hoeven securitybedrijven in Nederland niet aan specifieke eisen te voldoen, ook niet als zij voor de overheid werken. Securitybedrijven vinden dat collega-bedrijven echter lang niet altijd competent genoeg zijn en roepen daarom op tot standaarden, blijkt uit een rondgang van Tweakers.net langs verschillende ondernemingen. "Iedereen kan in Nederland een securitybedrijf oprichten. De bedrijven kunnen doen en laten wat ze willen, zonder dat ze door een onafhankelijke partij worden gecontroleerd", constateert Henk-Jan Angerman van SecWatch. Hij komt naar eigen zeggen 'te veel' securitybedrijven tegen die het niet zo nauw nemen met de kwaliteit van hun werk. Zo komt het volgens hem voor dat hij een audit van een collega moet controleren, waarbij er zichtbaar steken zijn laten vallen.

Een gevaarlijke situatie, vindt ook Hans Kortekaas van SurfPlan. "Het niveau van securitybedrijven moet worden opgekrikt. De overheid of de industrie zou daar een leidende rol in kunnen nemen door het opwerpen van bepaalde standaarden, waar elk securitybedrijf uiteindelijk aan moet voldoen. Hoe wordt bijvoorbeeld een audit uitgevoerd en hoe vaak? De standaarden moeten daarvoor duidelijke grenzen aangeven, zodat alle basisuitgangspunten hetzelfde zijn."

Momenteel controleert overheidsdienst Logius of gemeentesites op een veilige manier DigiD aanbieden. In geval van nood kan de dienst worden ingetrokken. Voor de rest van de website is de gemeente echter zelf verantwoordelijk. Hoewel er beveiligingsrichtlijnen en checklijsten voor overheidssites bestaan, zijn er geen regels voor de partij die de sites aan een dergelijke controle onderwerpt. Kortekaas: "De controle van de keten is zoek. Er moet gekeken worden naar de bedrijven die de audits uitvoeren, of ze wel de expertise hebben. Niemand controleert of ze een penetratietest goed kunnen uitvoeren, en wie dat doen. Dat zouden in theorie zelfs criminelen kunnen zijn."

Standaarden voor beveiligingsbedrijven die voor bijvoorbeeld gemeentes werken ontbreken inderdaad, bevestigt de overheidsdienst voor digitale beveiliging Govcert desgevraagd tegenover Tweakers.net. Mark Koek van Fox-IT betreurt dit: "Er is in deze markt geen kwaliteitsstandaard aanwezig. Daardoor kunnen ook bedrijven die alleen maar een enkel tooltje gebruiken, een audit uitvoeren. Zij controleren daarbij niet op geavanceerde veiligheidslekken". Koek kreeg naar eigen zeggen onlangs een beveiligingsrapport van een gemeente onder ogen, waarbij de externe partij verschillende belangrijke procedures over het hoofd zag. Die situatie zou zelfs met een second opinion niet altijd kunnen worden voorkomen. "Ook bedrijven die een second opinion in opdracht van de gemeente uitvoeren, beschikken mogelijk niet over de juiste kennis."

Koek vindt het maken van eventuele uitgangspunten niet onverstandig. Al zijn die volgens hem moeilijk te realiseren; standaardbeveiliging is volgens hem continu aan veranderingen onderhevig. Kortekaas en Angerman wijzen als reactie daarop naar Duitsland. Daar bestaan al bepaalde eisen voor bedrijven die voor de overheid werken. Zo verplicht de Bundesamt für Sicherheit in der Informationstechnik bedrijven van bepaalde software gebruik te maken. Ook zijn er tal van beveiligingsrichtlijnen waaraan securitybedrijven kunnen voldoen. Hoewel ze niet allemaal verplicht zijn, blijkt in de praktijk dat veel afnemers ze ter controle toch hanteren.

De securitybedrijven doen hun oproep nadat eerder dit jaar verschillende ict-incidenten met betrekking tot de overheid plaatsvonden. Zo kraakte een hacker de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. DigiNotar hield de kraak lange tijd stil en het bleek dat de beveiliging bij het Beverwijkse bedrijf op meerdere vlakken niet op orde was. Recentelijk bleken tientallen gemeentesites vatbaar voor verschillende hackaanvallen, waardoor gegevens van burgers en ambtenaren op straat konden komen te liggen. Als reactie daarop wil het parlement een zogeheten 'ict-brandweer' oprichten.

Gerelateerde content

Alle gerelateerde content (33)
Moderatie-faq Wijzig weergave

Reacties (24)

Het lijkt me nuttig dat je een security bedrijf aan bepaalde standaarden laat voldoen bijvoorbeeld een bepaald kennis niveau dat bewezen moet kunnen worden. En bijvoorbeeld een minimum aantal audits voorschrijven voor een systeem met een bepaalde gevoeligheid. Zo kan een overheid bijvoorbeeld stellen dat bijvoorbeeld het digitale ID zo als dat in nederland op sites gebruikt wordt betekend dat de site minimaal 4 maal per jaar tegen het licht gehouden dient to worden door een bevoegd security bedrijf. Waar een site met niets anders dan alleen wat leuke toeristische plaatjes maar 1 maal per jaar hoeft te worden bekeken. De infrastructuur, hoe de simpele toeristen site en de site waar je aanvragen kunt doen voor subsidies met je digitale ID eventueel met elkaar kunnen communiceren dient natuurlijk bij elke audit mee genomen te worden om te voorkomen dat op welke wijze dan ook een hacker die de toeristen site aanvalt via die route toch bij de veel beter beveiligde andere sites kan komen. En een server waar dit alles samen op gehost wordt moet dus netjes 4 maal per jaar bekeken worden inclusief alle andere sites en diensten die hier op draaien.

Dit soort dingen kan de overheid zeker af dwingen en zouden ook afgedwongen moeten worden net als een duidelijke manier om een site te classificeren en dus te bepalen hoe vaak deze een audit verdient. Met een centraal orgaan dat uiteindelijk de verantwoordelijkheid heeft deze regels bij te houden en aan te passen waar nodig.

Wat de overheid niet moet willen doen is proberen een security standaard te maken waar een ieder zich aan moet houden als ze een overheidsdienst hosten. Als dat het geval is dan heb je een hele erg groot probleem met dat iemand een gat in de beveiliging vind omdat dan alles en iedereen nat gaat. Zie de hack van 50 Nederlandse gemeente in een keer.

Het idee dat de security branch met een eigen keurmerk komt is net zo belachelijk als zo'n keurmerk voor webshops, ontwikkelaars of welke andere branch georganiseerde keurmerken dan ook. Het probleem is dat zo'n keurmerk altijd een compromis is tussen wat de beste bedrijven kunnen bieden en wat de zwakkere broeders van het gezelschap met moeite of met een houtje touwtje oplossing net aan voor elkaar krijgen. Welk compromis dan ook betekend dat er totaal geen reden meer is voor de goede bedrijven om met betere oplossingen te komen. Immers dankzij het keurmerk kunnen de kleine spelers met hun met de hakken over de sloot oplossingen voor de leek precies het zelfde bieden. Een keurmerk van uit een branch zelf moedigt de branch juist aan om het minimale te doen dat nodig is om het keurmerk te mogen voeren en de rest hoeft eigenlijk niet. Zeker voor overheden (en dat zijn de meest lucratieve contracten die er zijn) niet omdat daar simpel weg de regels gevold worden de goedkoopste met keurmerk X die binnen de door ons gestelde limieten het werk zegt te kunnen uitvoeren krijgt de opdracht.

Ik zou wat dat betreft veel liever een Duitse oplossing zie waar een iet wat meer competente overheidsorganisatie de keurmerk eisen opstelt en beslist wie wel en niet dat label mogen voeren. Op die manier kun je een branch dwingen ieder jaar weer net even een hoger kwaliteitsniveau aan te houden.

Kijk voor de grap naar de enegry star norm die helaas nog steeds op sommige monitoren prijkt. Al jaren is het een lachertje omdat de norm jaren lang niet is aangepast en dus eigenlijk iedereen en zijn moeder zelfs als ze hopeloos slechte energie verslindende producten bouwde nog net aan binnen de norm wisten te vallen en dus aan een ieder konden leveren ook binnen de overheden.
Vergelijk dat met de eis van uit de EU om het stand by verbruik terug te dringen naar 1W voor alle huishoudelijke apparatuur. Moord en brand schreeuwde de branch, maar alle grote bedrijven kunnen zich er aan houden. Zo ook de eis om te stoppen met een eigen lader bij iedere telefoon te leveren en simpel weg altijd micro USB te gebruiken. Jaren lang riep men dat zo'n standaard niet kon maar tegenwoordig is het de gewoonste zaak van de wereld.

Overheden moeten keurmerken uitgeven de eisen vastleggen en constant aanscherpen om op die manier een branch te dwingen zich zelf te verbeteren ook als ze zelf eigenlijk vinden dat het niet kan. Want uiteindelijk wil welke branch dan ook maar een ding en dat is geld verdienen en als dat alleen kan als je voldoet aan bepaalde eisen dan is dat het geen wat de bedrijven in die branch zullen doen.
Er is alleen een probleem als de auditor zelf onvoldoende kwaliteit heeft en/of de audit opdracht onvoldoende reikwijdte heeft. Ik heb zelf jaren terug een grote en bij iedereen bekende 'verzelfstandigde' overheidsorganisatie moeten wijzen op een ernstig beveiligingslek (later volledig door de directeur van die instantie persoonlijk aan mij erkend) die zowel de ITers van die organisatie zelf, als die van het grote bedrijf aan wie de betrokken dienstverlening was uitbesteed, en de EDP-auditor van een hele grote firma (K**G) die ik ook nog persoonlijk gesproken heb blijkbaar allemaal ontgaan was.

Die EDP-auditor had wel mooi zijn zegel van goedkeuring gehangen aan die dienstverlening door dat bedrijf dus iedereen dacht dat het allemaal pico bello was. De realiteit was echter anders. Wie controleert echter de deskundigheid van die EDP-auditor? En wie controleert die van degene die dan evt. die EDP-auditor controleert? En wie is er dan verantwoordelijk als het dus mis gaat zoals ik dus meemaakte met grote schade tot gevolg voor betrokken personen? In mijn ervaring wijst iedereen dan naar elkaar en neemt niemand die verantwoordelijkheid op zich. Dat is dan ook weer het nadeel van dergelijke constructies. Heeft men het papiertje eenmaal in handen dan kan men in de toekomst als het toch fout blijkt te zijn de handen in onschuld wassen "want men voldeed toch aan alle eisen".

Het zou wellicht veel beter zijn om nu eerst eens helder en duidelijk vast te leggen bij wie de verantwoordelijkheden liggen als er zaken fout gaan. Op het moment dat men weet dat men voor bepaalde zaken eindverantwoordelijkheid draagt en het ook concrete gevolgen heeft als men faalt (zoals aansprakelijk zijn voor schade voortvloeiend uit dat falen) dan zal er vanuit de organisaties zelf "spontaan" een veel grotere neiging ontstaan om adequaat aandacht te besteden aan de nodige beveiligingsaspecten en dat zal dan automatisch met zich meebrengen dat de kwaliteiten van de betrokken controlerende instanties en personen dan vanuit die instanties zelf al veel meer aandacht zal krijgen.
Ik snap je standpunt helemaal en deel je mening, echter het heeft (in mijn ogen) de volgende gevolgen:
De aanbieders gaan hun prijzen navenant verhogen omdat ze een aansprakelijkheidsrisico gaan incalculeren, tevens gaan door de uitgebreidere en intensievere controles diezelfde prijzen nog eens over de kop.
Gevolg is dat het geheel voor veel instellingen "te duur" gaat worden. De keuze om het dan maar niet te doen of inderdaad veel geld neer te tellen is snel gemaakt.
Als blijkt dat de investering echt noodzakelijk is, klaagt vervolgens iedereen hier steen en been dat de belastingen de komende jaren sterk verhoogd worden (uitgaande van rijksopdrachten en/of gemeentelijk aanbestedingen...)
Ik zie het dan nog gebeuren dat we een veiligheidsbelasting of iets dergelijks gaan krijgen.
Het geld moet namelijk toch ergens vandaan komen........
Standaarden zijn niet het probleem. Je kunt immers nog zoveel standaarden maken en hanteren, maar het gaat uiteindelijk om de uitvoering. De recente hack van gemeentesites kwam door een server die niet geupdate werd. Dat ondervang je niet met standaarden.

Het risico van de voorgestelde aanpak is dat het alleen maar meer papierwerk en geld kost, terwijl er per saldo niets veiliger wordt.

De klant (bv gemeenten, evt bijgestaan door een overheidsorganisatie of adviesbureau) moet gewoon duidelijk vragen wat het wil.

Standaarden werken ook nog eens in de hand dat men de eigen verantwoordelijkheid doorschuift met als gevolg meer onveiligheid ipv andersom.

[Reactie gewijzigd door Rukapul op 19 oktober 2011 16:03]

De klant (bv gemeenten, evt bijgestaan door een overheidsorganisatie of adviesbureau) moet gewoon duidelijk vragen wat het wil.
Nee, de aanbieder moet duidelijk maken wat gevolgen zijn van bepaalde keuzes. De hack op gemeentesites is een mooi voorbeeld. De instantie die het gebouwd heeft had duidelijk moeten maken dat er updates nodig blijven en wat de gevolgen zijn als dit niet gebeurd.
Het is makkelijk de schuld af te schuiven naar de klant.
controles kosten meer geld en zijn geen garantie voor veiligheid.

Het grootste voorbeeld is diginotar, de hele overheid gebruikte het en zie daar het was een zooi. Zelf dat bedrijf moest eerst een erkenning krijgen.

Daarnaast zijn controles leuk maar ja als een collega of concurrent bij jou komt controleren wil je dat. Wat als een bedrijf dat wel door de controle gekomen is het niet goed doet dan kan de schade zeker naar Nederlands voorbeeld op de controle instantie worden verhaald want een schuldige moet er altijd zijn.

Controles en eisen zijn leuk en soms zinvol maar geven ook weer een boel papierwerk = extra kosten. Kleine bedrijven ook die het goed doen draai je daarmee de nek om.

Die controles en extra kosten moeten ook weer betaald worden.
Heb je al eerder een audit meegemaakt?
Een ISO-kwaliteitscertificaat geeft aan dat de diensten en producten van de onderneming op een kwalitatief verantwoorde manier tot stand komen.
Een ISO-kwaliteitscertificaat is dus niet meer dan een manier om aan te tonen dat je op een 'kwalitatief verantwoorde manier' bezig bent. Het is een baseline waaraan men 'minimaal' moet voldoen en heeft niets te maken met wie er schuldig is en maakt een bedrijf ook niet ontastbaar.

Bovendien zijn er maar weinig mensen die het leuk vinden om een auditor in huis te halen die ze (misschien) gaat vertellen wat ze allemaal verkeerd doen, maar dat wil niet zeggen dat het niet belangrijk is. Ik wordt ook moe wanneer er weer eens een brandoefening plaats vindt, maar wat zal ik blij zijn als alles om me heen in de fik staat en ik de kortste en veiligste route naar buiten weet.
Klopt. Als je in je ISO handboeken hebt beschreven hoe je kromme spijkers moet maken, en vervolgens op die manier kromme spijkers produceert dan heb je 'kwalitatief verantwoorde' kromme spijkers gemaakt. Of een klant er vervolgens iets aan heeft is de vraag.

Moraal: je kan nog zoveel standaarden maken, als je standaard uit onzin bestaat, zal er onzin uitkomen. Ik zou eerder pleiten voor een degelijk ICT beleid (en daarmee beheer) Dan zijn de lekken veel onwaarschijnlijker. Plak daar een goed protocol met checks door andere mensen dan degene die het uitvoeren, en je kan een stuk geruster slapen als ICT manager.

[Reactie gewijzigd door robb_nl op 19 oktober 2011 20:24]

nee, ook niet, er moet meer goede kennis van zaken komen bij het personeel van de overheid. je kunt nog zoveel willen of adviseren. Als de mensen niet weten waar ze over moeten oordelen is het per definitie mislukt. Overheid besteed liever alles uit en no-knowledge managers moeten dan over veiligheid beslissen?
Het gaat erom dat ze de bedrijven die beveiligingsmaatregelen gaan aanraden willen controleren. Zoals in het artikel staat kan iedereen zich beveiligingsexpert noemen. Het heeft geen nut als gewoon Pietje van de hoek bij de gemeente langs komt en verteld dat ze Norton moeten installeren op hun server en klaar is kees. Men wil gewoon zeker weten dat er een goed bedrijf heeft gekeken. Daar is deze standaard voor.

Hoewel ik het wel met je eens ben dat veel van deze standaarden ook waardeloos zijn werkt het soms wel goed. Zie bijvoorbeeld het thuiswinkelwaarborg, zoiets zou er ook voor dit soort bedrijven moeten komen.
Het gebruik van wat in een standaard certificatie voorgeschreven tools, zal echter niet veel betekenen voor de beveiliging van dergelijke sites. Het helpt vooral de aanvaller omdat die dan weet welke aanval zeker zal slagen op al die gecertificeerd veilige sites.
Als de standaard alleen wat tools beschrijft is het inderdaad gedoemd om te vallen. Als er echter een certificaat of examen komt voor security experts dan is er wel een kans dat het nut heeft.
het gaat hier ook niet over of dat de server van de gemeentesite wel of niet geupdate was, maar dat er door een 'security'-bedrijf alleen gecontroleerd was op een SQL-injectie om op de site binnen te komen en verder niets.(als voorbeeld dan he!)

Ik weet niet hoe het met jou zit, maar ik kan al een aantal andere vormen van hacken bedenken om een website binnen te komen cq over te nemen zonder dat dit meteen zichtbaar is.

Ik ben het dan ook met het artikel eens dat er een algemene richtlijn/certificaat/standaard ontbreekt zoals in Duitsland het geval is.

100% afvangen is (nagenoeg) onmogelijk, maar tot op een grote redelijkheid is het wel degelijk te controleren of jouw website wel veilig is. Dit dient te gebeuren door bedrijven die weten waar ze het over hebben, en dat kan je als leek zien aan certificaten of iets wat deze bedrijven zullen hebben(of navragen welke standaarden ze gebruiken en deze (laten) toetsen door een ander bedrijf)

Het 'probleem' met klanten is dat ze vaak weinig tot geen kennis van zaken hebben om duidelijk te vragen wat het wil(als dit het wel had hadden ze het waarschijnlijk niet gevraagd ;) )maar wel dat ze het willen(of moeten)

En in een standaard kan ook het eea worden vastgelegd waar dingen gemeld dienen te worden en wie er dan verantwoordelijk voor is ;)
bv. een securitybedrijf constateert dat website A lek is, zij leggen dit vast(volgens standaard) en lichten de eigenaar in. Als de eigenaar nu niets doet en na een tijd naar hun begint te wijzen kunnen zij de vastlegging overleggen en heeft de eigenaar niets af te schuiven(behalve intern dan)
Een standaard waarin staat dat geregeld moet zijn wie en hoe de software up-to-date gehouden wordt, had die hack waarschijnlijk ondervangen.
Ik heb Fox-IT audits gezien en die geven bij een audit aan welke versie de server draait en of dat een security probleem oplevert.
Het lijkt me lastig om hier "standaarden" voor te ontwikkelen. Zoals in het artikel ook al staat is beveiliging aan constante verandering onderworpen. Dan zou het er volgens mij op neerkomen dat concurrenten elkaar moeten gaan beoordelen, wat ook weer de nodige ongemakken met zich meebrengt.

Een andere manier zou kunnen zijn dat de overheid zelf een keuringsinstantie in het leven roept en bedrijven gaat beoordelen. Maar ja... Overheid en beveiling, daarvan is nou juist op een pijnlijke manier aangetoond dat dat niet zo'n hele prettige combinatie is.
Dat is helemaal niet lastig. Zo kan de overheid heel eenvoudig eisen dat een website vrij is van de top 10 security isseus vermeld op de OWASP website.

Vrijwel alle (grote) hacks vinden tegenwoordig plaats via de website of webservices. Het is geen garantie, maar wel een goed begin. Ook kan de opdrachtgever (gemeente) dan eenvoudiger controleren of de security audit de meeste belangrijke onderdelen heeft getest.

En misschien is een hall of shame voor security bedrijven welke ondermaats presteren ook geen slecht idee. Eventueel kan de overheid deze lijst intern houden als ze rechtszaken wegens image 'schade' willen voorkomen.
Ik weet neit of dit gaat werken. Als je standaarden zet i.p.v.
per situatie bekijken wat nodig is dan schiet je nog niets op.

Wat vandaag als veilig beschouwd wordt kan morgen al weer
achterhaald zijn. ICT is een hele snelle branch en standaarden
hebben nogal de neiging om langzaam te zijn.

Idee goed uitwerking kan beter
Er komt dus best controle dat securitybedrijven de beste hackers in dienst nemen die er zijn. Alleen dan kunnen alle aanvallen worden tegengehouden. Je moet dus die mannen meer geld geven dat ze nu al kunnen verdienen.

Indien je geen deftige controle opzet zal er anders vroeg of laat wel weer eens een serieuze hack gebeuren.

Anderzijds denk ik wel dat een controleteam een flinke sprong voorwaarts zal zijn om de bestaande problemen toch al een halt toe te roepen.
Ik ken zat bedrijven die ISO gecertificeerd zijn. Leuk papiertje voor aan de wand van een directie maar veel zegt het niet. Security zit niet in het behalen van een papiertje maar in het gehele bewustzijn en het werkproces. Als klant zou ik een leverancier niet hoeven te vertellen op welke wijze deze applicaties moet beveiligen, ik zou alleen de eisen moeten opstellen welke de leverancier zou moeten kunnen vertalen in maatregelen.
Het komt alleen te vaak voor dat ik als klant op de stoel van een leverancier moet gaan zitten, ondanks dat deze gecertificeerd is, om de applicaties goed beveiligd te krijgen.
Ja, handig standaarden. Als die dan gehackt worden kunnen we overal direct naar binnen. Goed bezig....
de standaard gaat over het toetsen van het kennis niveau en de kunde de bedrijven die security audits doen. dat is dus niet een beveiligingstandaard.

(daarbij werken beveiligingsstandaarden doorgaans erg goed omdat die met veel zorg zijn samengesteld voor beveiliging experts. ik noem EAS256 of SSL, die gebruiken is veel veiliger als zelf iets in elkaar proberen te flansen.
Als al die betrokken managers nu eens even een flinke joint opsteken en het er eens flink van nemen onder elkaar... de kans is aanwezig dat ze dan niet meer zo heel ingewikkeld gaan denken en daardoor ineens heel erg helder onder ogen gaan zien waar het kernprobleem zit 8-)

Ik denk dat de kern van alle problemen zit in Nederland zelf.
Daar heb ik geen joint voor nodig ;)

Hoe verklaar je anders dat zo'n kolos als Duitsland zijn zaken op ICT gebied beter voor elkaar heeft dan zo'n klein en daardoor geografisch gezien super overzichtelijk kikkerlandje als Nederland?
Tja, dat krijg je als de overheid gewoon geen verstand heeft van IT. Als ze dat wel hadden, en dus een idee van wat IT zou moeten doen voor ze en de issues die daarbij komen kijken, kunnen ze gericht eisen stellen. Maar als IT altijd als 'black box' wordt behandeld moet je ook niet klagen als je niet weet wat er in die doos gebeurt, of dat dat crappy is.

Het idee van een ICT-brandweer getuigt van exact datzelfde onbegrip. Je moet niet in een situatie willen komen waar je alleen branden kan blussen, je moet je IT zo brandveilig mogelijk maken.

Stap 1 is daarvoor toch echt kennis van zaken. Dan komt een streng en goed-uitgedacht eisenpakket en daarna kunnen we het altijd nog over standaarden hebben....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True