FBI: stilzwijgen over datalekken helpt niet

De directeur van de FBI, Robert Mueller, roept bedrijven op om samen te werken met de autoriteiten bij datalekken. Dat dit betekent dat zaken in de publiciteit kunnen komen, is iets wat ze volgens hem voor lief moeten nemen.

Mueller zei dat tijdens een keynote op de RSA Conference, een beveiligingsconferentie in San Francisco. Mueller richtte zich met zijn oproep op aanwezige bedrijven in de zaal. "Het in stand houden van stilzwijgen zal ons op de lange termijn niet helpen", zei hij. "Het is niet een vraag van 'óf', maar van 'wanneer'".

Daarmee bedoelt hij dat elk bedrijf uiteindelijk het slachtoffer van een hackaanval zal worden. "Er zijn twee soorten bedrijven", aldus Mueller: "Bedrijven die gehackt zijn, en die nog gehackt worden." Geen enkel bedrijf is immuun, waarschuwt hij. Daarom roept hij bedrijven op om samen te werken, waarbij vertrouwelijkheid van informatie moet worden gewaarborgd. Het nieuws van een hack kan echter wel in de openbaarheid komen als een bedrijf meewerkt.

De opmerkingen van Mueller zijn ook in Nederland relevant. Hier wordt namelijk waarschijnlijk een meldplicht datalekken ingevoerd, maar de ict-branche is tegen: de imagoschade zou te groot zijn. Mueller zegt echter: "Het is in het belang van bedrijven om informatie over hacks te delen met de overheid."

Mueller denkt dat cybercrime uiteindelijk de plek van grootste dreiging voor de Verenigde Staten inneemt. Nu is dat nog terrorisme. Ook internationale samenwerking is volgens Mueller belangrijk om cybercrime tegen te gaan: "Landgrenzen vormen geen obstakel voor hackers, maar wel voor de politie", zegt hij.

De FBI-directeur ging niet specifiek in op digitaal terrorisme. Tijdens dezelfde conferentie zei beveiligingsonderzoeker Mikko Hypponen van F-Secure dat van 'cyberterrorisme' op dit moment nog geen groot gevaar uitgaat. Hypponen en Mueller erkennen allebei echter wel dat digitale media door terroristen worden gebruikt om bijvoorbeeld informatie uit te wisselen en propaganda de wereld in te sturen.

Door Joost Schellevis

Redacteur

Feedback • 02-03-2012 08:3226

02-03-2012 • 08:32

26 Linkedin

Lees meer

Sql-injectie en xss: de beste verdediging

 

 259
Internetreuzen willen uitzonderingspositie voor EU-richtlijn ict-beveiliging Nieuws van 10 december 2014
'Spionage NSA is mede aan onszelf te wijten' Nieuws van 15 februari 2014
Boycotters RSA Conference organiseren eigen beveiligingsconferentie Nieuws van 17 januari 2014
11:27
Mikko Hypponen over cybercrime en digitale oorlog Video van 20 oktober 2012
Waterbedrijf Oasen versleutelde sessie-id's niet Nieuws van 25 september 2012
'Bekende datalekken zijn slechts topje van de ijsberg' Nieuws van 25 juli 2012
Overheid mag ingrijpen bij telecomproviders na hack Nieuws van 6 juli 2012
Gegevens deel Bol.com-klanten waren toegankelijk via sql-injectie Nieuws van 2 juli 2012
LinkedIn: wachtwoorden zijn nu gesalt Nieuws van 13 juni 2012
Wachtwoorden miljoenen LinkedIn-gebruikers op straat - update Nieuws van 6 juni 2012
FBI wil Facebook en Skype verplichten afluisteren mogelijk te maken Nieuws van 4 mei 2012
Nederlanders ontdekken groot lek in Ning Nieuws van 20 april 2012
Politie arresteert Nederlander bij oprollen Tor-webwinkel voor drugs Nieuws van 17 april 2012
VS gaat verdachten zonder gerechtelijk bevel via gsm-masten volgen Nieuws van 1 april 2012
FBI: hackers zijn aan de winnende hand Nieuws van 28 maart 2012
125 websites kwetsbaar door lek in site Spoorwegmuseum Nieuws van 13 maart 2012
Website Dirk, Bas en Digros laat e-mailadressen uitlekken Nieuws van 6 maart 2012
'Digitaal terrorisme vormt nog geen gevaar' Nieuws van 1 maart 2012
Verisign en FBI halen .com-domeinnaam neer Nieuws van 1 maart 2012
RSA: encryptie-algoritme is veilig Nieuws van 28 februari 2012
FBI schakelt duizenden gps-trackers uit na uitspraak Hooggerechtshof Nieuws van 26 februari 2012
Justitie VS: slechts 9 procent gebruikte MegaUpload voor uploads Nieuws van 18 februari 2012
Meer producten en artikelen
Politiek en recht Privacy Cybercrime Datalek Hackers Overheid

Reacties (26)

-Moderatie-faq
26
26
23
0
0
1
Wijzig sortering
densoN
2 maart 2012 08:36
Ik begrijp de imagoschade niet helemaal. Als je aangifte van een hack doet bij de overheid hoef je dit toch nog niet aan de media te vertellen? Of worden dit soort hacks door ambtenaren gelekt naar de media?
Kapiteiniglo
@densoN2 maart 2012 08:42
Het gaat er juist om dat een bedrijf aan zijn klanten moet vertellen dat het gegevens gelekt heeft. Dus er is wel degelijk imagoschade. Echter ik denk dat de imagoschade alleen maar groter is als je het als bedrijf niet zelf verteld en het later alsnog naar buiten komt.
freaq
@Kapiteiniglo2 maart 2012 10:25
grappig is dan wel dat de FBI regelmatig erg ver schijnt te gaan om informatie van haar fouten te vermommen, en dan heb ik het dus niet over informatie die geheim is maar gewoon fouten gemaakt in het veld.

maar ik moet het wel eens zijn met het statement het is beter voor iedereen om meteen eerlijk en duidelijk te zijn als er niets is gebeurd en wat precies, en ook ver genoege gevolgen als mogelijkheid in te schatten,

niet als KPN melden dat er geen kritieke systemen bereikt waren, terwijl er veel meer aan de hand was en in principe het hele telefoon netwerk plat had kunnen zijn.
Arnoud Engelfriet
@densoN2 maart 2012 09:10
Een onderzoek kan tot een rechtszaak leiden, en in die rechtszaak wordt dan de naam van het bedrijf genoemd. Rechtszaken zijn immers openbaar.
mad_max234
@Arnoud Engelfriet3 maart 2012 02:54
Een onderzoek kan tot een rechtszaak leiden, en in die rechtszaak wordt dan de naam van het bedrijf genoemd. Rechtszaken zijn immers openbaar.
Dat kan nu al heel simpel niet openbaar gemaakt worden door de rechter als die daar rede toe ziet. En daarbij kunnen we de wet ook aanpassen.

Vind eigenlijk dat rechtszaken sowieso gesloten moeten zijn, wat gaat het iemand anders aan? Is zaak tussen de rechter en verdachten en andere betrokkenen, pottenkijkers en media mag van mijn geweerd worden.
arjohn
@densoN2 maart 2012 09:23
Maar wat als de database met gehackte bedrijven gehackt wordt? :+
SPee
@arjohn2 maart 2012 12:52
Die staat dan later op Wikileaks. ;)
Hatsjoe
2 maart 2012 08:39
Ik vind het een goeie zaak als bedrijfen gedwongen worden het te melden als er een security breach is geweest.
Gebruikers op de hoogte stellen mogen ze van mij zelfs verplichten, je kan nooit 100% zeker weten wat er allemaal gestolen is, dus dan kunnen gebruikers er rekening mee houden en wachtwoorden veranderen/creditcards blokkeren mocht het nodig zijn.
Hier wordt namelijk waarschijnlijk een meldplicht datalekken ingevoerd, maar de ict-branche is tegen: de imagoschade zou te groot zijn.
Hier zakte me broek van af :+ En terecht dat je imago schade oploopt, moet je maar niet een stelletje incompetente serverbeheerders in dienst nemen die denken dat "pass123" en top wachtwoord is.
MClaeys
@Hatsjoe2 maart 2012 09:19
Niet elke hack komt door serverbeheerders die "pass123" gebruiken, dus dat is wel een beetje kort door de bocht :)
Imagoschade kan je trouwens ook beperken door de zaken goed aan te pakken. Een tijdje geleden gebeurde er een hack op hardware.info, het was een hack waar ze in principe niet veel aan konden doen (zero day). Ze hebben zelf een patch geschreven en gesubmit + ze hebben de leden zeer snel en duidelijk op de hoogte gebracht (wat was er aan de hand, wat hebben ze gestolen, waren de paswoorden veilig, ...). In mijn ogen (en die van vele leden) hebben zij geen gezichtsverlies geleden :)
Ze hebben wel het geluk dat hun publiek niet in paniek geraakt vanaf ze het woord "hack" lezen. Dat zal bij veel sites wel wat minder zijn denk ik.
Hatsjoe
@MClaeys2 maart 2012 09:38
Dat was meer bedoeld als beeldspraak, en had betrekking tot serverbeheerders die gewoon niet weten hoe ze de beveiliging op orde moeten krijgen.

En inderdaad, je kan je imagoschade zo goed mogelijk beperken door meteen transparant jegens je klanten te zijn, en ook laten zien dat er alles aan gedaan wordt om het te herstellen.

Mensen kunnen sneller begrip op brengen als ze meteen geinformeerd worden over de hack, en er daarna ook doorgecommuniceerd wordt wat er aan gedaan is.
Kell_1990
@Hatsjoe2 maart 2012 11:46
elk bedrijf wordt een keer gehacked, en dat heeft niks te maken met incompetente netwerkbeheerders of iets in die richting, tuurlijk werkt het wel mee, maar al gebruik jij het moeilijkste wachtwoord kan je nog steeds gehacked worden. Kijk naar bijvoorbeeld anonymous. Ik denk niet dat je bij de NASA of een bedrijf in die richting een wachtwoord gaat vinden als Welkom01 of Pass123 en ook die bedrijven zijn al een aantal keer gehacked.

Zelf ben ik het met je eens dat het bedrijf een security breach meteen door moet geven aan zijn klanten, dan laat je aan je klanten zien van oké we zijn gehacked maar we doen er iets mee en nu weten jullie ook dat je iets kan/moet doen.
Megamind
2 maart 2012 08:42
Als er ingebroken wordt bij je bedrijf en een archiefkast met klantgegevens wordt meegenomen hoor je er niemand over maar als een server gehacked wordt en er worden klantgegevens meegenomen dan is er opeens enorme imagoschade..
Keypunchie
@Megamind2 maart 2012 08:48
Als er ingebroken wordt bij je bedrijf en een archiefkast met klantgegevens wordt meegenomen hoor je er niemand over
Ehr. Volgens mij hoor je niet over, omdat geen enkele gek natuurlijk de moeite gaat doen om een archiefkast te stelen. In tegenstelling tot laptops neem je die zo moeilijk mee. Daarnaast zit een archief vaak niet echt op een plek waar je makkelijk weg komt.

Daarnaast zou je dan ook alle adressen moeten gaan overtikken ofzo. Dat is bepaald de moeite niet waard.

Als je een adressenbestand download via een lek, dan kun je het makkelijk doorverkopen aan bijvoorbeeld spammers. Die zien je al aankomen met een vrachtwagen vol papieren archief.
Freee!!
@Keypunchie2 maart 2012 09:17
Daarnaast zou je dan ook alle adressen moeten gaan overtikken ofzo. Dat is bepaald de moeite niet waard.
Geautomatiseerd scannen met OCR :?

En het hangt er maar net vanaf, ik kan me gevallen voorstellen waarbij het wel de moeite waard is.

De beste beveiliging op dat gebied had indertijd Van der Valk, de hele administratie zat in het hoofd van één persoon >:) Daar was de belastingdienst weer niet zo blij mee ;)
Hatsjoe
@Megamind2 maart 2012 08:44
Dat komt omdat als een inbrekertje een dosier mee neemt met een lijst met klanten, dat minder erge impact heeft dan een server die gehackt wordt waar veel en veel meer op staat.

Beetje te vergelijken met of op een server inbreken, of een vrachtwagen voor rijden en de hele administratie/boekhouding mee nemen in de vrachtwagen, wedden dat je het dan wel hoort? ;)
Analoge
2 maart 2012 08:36
Mueller heeft op zich wel gelijk maar de ict-branche ook want het is op dit moment nog een uitzondering om gehackt te zijn. De vraag is meer hoe lang ben je nog een uitzondering want ieder bedrijf zal ooit wel eens gehackt worden.
DeTeraarist
@Analoge2 maart 2012 08:46
Das dus precies wat Mueller zegt: het is niet "of" het is "wanneer". De ICT branche kan wel tegen zijn, maar er zijn meer branches die interessant zijn om te hacken. Het is wel zo dat de ICT branch de grootste klappen krijgt, zij zijn staan van nature in de schijnwerpers bij dit onderwerp.
Xubby
@Analoge2 maart 2012 13:04
Als maar een enkel bedrijf bekend wordt dat gehack is, lijkt het de klos te zijn. Als vele bedrijven blijken te zijn gehackt, lijkt het wat "normaler" te zijn.
En je wilt niet dat je bekend wordt dat je bent gehackt, dus neem je mee maatregelen er tegen.
Daarnaast, bij bekendmaking "weet iedereen" wat of nu gehackt is, zodat geruchtvorming minder kans heeft.
Dus kun je nu nog denken dat het maar het topje van de ijsberg is, waarvan bekend is dat het gehackt is. Dan is het duidelijk wat gehackt is.
cibrhusk
@Analoge8 maart 2012 23:13
Wat ik me gelijk afvroeg is, wie bepaald hier eigenlijk dat de ICT branche tegen is? Sinds wanneer bestaat daar een autoriteit in? Of heb ik al die jaren iets gemist.
Genoeg tweakers zullen er ongetwijfeld in werken en zich vast niet zo zeer kunnen vinden in deze uitspraak. Wat mij betreft is stilzwijgen hetzelfde als de gaten niet serieus nemen en er dus blijvend te weinig aandacht aan beveiliging wordt gegeven. Imagoschade is dan ook ondergeschikt, eerder marketing die er anders over denkt lijkt me.

Gek genoeg is beveiligen overigens vaak gelijk uit den boze zodra het blijkt dat hiervoor vrijheden moeten worden opgeofferd, iets waar de gebruikers tegenwoordig wel erg veel moeite mee hebben.
BenGenaaid
2 maart 2012 23:09
Ik denk dat die meneer Mueller toch niet helemaal gelijk heeft,
"Er zijn twee soorten bedrijven", aldus Mueller: "Bedrijven die gehackt zijn, en die nog gehackt worden." Geen enkel bedrijf is immuun
Ik ken zat bedrijven waar men 1 pc met een printer heeft voor de boekhouding en dat is het, geen internet....

Dus hoe wordt die dan gehacked>> een inbreker met een rootkit cdtje??, neemt ie gewoon de hele pc toch mee?? Da's geen hacken meer, das sleuren met een ouwe pentium 2 :+

Oh en de bedrijven zonder een PC, noem je de kaartenbak doorsnuffelen ook hacken dan :9
laptopleon
@BenGenaaid3 maart 2012 16:04
De bakker op de hoek past nu nog in je beschrijving maar verder… Hoe lang denk je dat je administratie nog kan doen zonder internet? Hoe lang denk je dat de Belastingdienst nog papieren aangiftes accepteert en bedrijven nog papieren facturen sturen? Internetbankieren IS al de standaard bij nieuwe klanten en er is geen weg terug.
D-Raven
2 maart 2012 09:01
"Mueller denkt dat cybercrime uiteindelijk de plek van grootste dreiging voor de Verenigde Staten inneemt. Nu is dat nog terrorisme. "

Ik voel een nieuwe heksenjacht aankomen... een nieuw argument in de oorlog om de burger te strippen van enige recht op privacy, zowel offline als online.

Hoezo mogen wij alle acties op je computer niet monitoren? Je hebt toch niks te verbergen? Je bent toch geen cyber terrorist?
korenpc
2 maart 2012 09:31
Kijkend naar de geschiedenis en de taken die de FBI heeft lijkt mij ook het meest logische voor ze om dit voor te stellen en hiervoor te waarschuwen.

Internet breekt inderdaad voor veel burgers de landgrenzen. Echter hebben deze grenzen nooit bestaan voor criminelen en terroristen (Denk dat iedereen zat voorbeelden kan bedenken). Er zijn natuurlijk al internationale verdragen en afspraken om internationaal misdaad te bestrijden. Dit zal zeker niet gelden voor cybercrime. Dus het uitdragen van gegevens zal dit zeker niet veranderen echter geeft het hun zelf wel meer inzicht en mogelijkheden.

Het hoofd van FBI wil natuurlijk zoveel mogelijk bevoegdheid en zo weinig mogelijk obstakels om zijn taken te kunnen uitvoeren en dat is een veiligere VS. Dat is hun werk, en een 100% veilige samenleving is een Utopie, dus voor dit soort instantie zal er altijd werk zijn, of ze zoeken werk.

(voor mij klinkt zijn hele betoog wat ik lees uit het nieuws bericht hier; "Wij van W.C.- eend adviseren.... W.C. eend.)
Anoniem: 410069
2 maart 2012 10:41
Ik dacht dat het al lang verplicht was dat bedrijven een lek moeten melden waarbij klantgegevens gekopieerd of ingezien zijn. Het bedrijf is namelijk verplicht om de gegevens veilig op te bergen. Ik ben het zeker eens dat bedrijven het moeten melden aan hun klanten. Ik bedoel: Bedrijven die hun zaken goed voor elkaar hebben, die zijn niet zo bang voor een aanval op hun systeem, deze is namelijk goed beveiligd. Ze zullen dus ook geen imago-schade krijgen. Echter bedrijven die niet zeker zijn dat hun zaken goed beveiligd zijn, die zijn bang voor imago-schade. Die hebben eigenlijk geen recht van spreken, dan moeten ze maar meer investeren in beveiliging.
Anoniem: 316234
2 maart 2012 13:34
Het lijkt erop dat de hacker straks als de nieuwe terrorist wordt gezien. Een goede smoes om ook meteen het Internet zover mogelijk aan banden te leggen.

Jezelf beschermen tegen een hacker is trouwens vele malen eenvoudiger dan jezelf beschermen tegen een terroristische plofkip. Ik snap al die commotie niet.

Zelf ben ik voor een dergelijke meldplicht, aangezien dit de enige manier is om bedrijven te forceren om beter na te denken over, en te investeren in hun ICT beveiliging.
_AvA_
2 maart 2012 17:34
Blijkbaar werkt de hack aanpak dan toch, zonder hackers zou deze info dus voor altijd achter slot en grendel bewaard worden. Iets wat goed is voor de imagos van bedrijven maar uiteindelijk een nadeel heeft op de portemonnee van de gewone consument, wij dus.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee