Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 113 reacties

De Rabobank wil dat bepaalde informatie die de bank doorspeelt naar de overheid, zoals kwetsbaarheden in zijn ict-systemen, als 'staatsgeheim' wordt aangemerkt. Dat moet voorkomen dat die informatie in handen komt van concurrenten of criminelen.

Als de Rabobank zulke gegevens doorgeeft aan het Cyber Security Centrum, valt dat onder de Wet openbaarheid van bestuur en kan iedereen de gegevens opvragen. Met een beroep op die wet kunnen concurrenten en criminelen die info opvragen, zegt een topman van de Rabobank in een vraaggesprek met Het Financieele Dagblad. Dat zou voorkomen moeten worden door die gegevens als staatsgeheim aan te merken.

De Rabobank wil gegevens over lekken en beveiliging blijven doorspelen aan de overheid, benadrukt de topman. "Het is belangrijk elkaar op de hoogte te houden en dat doen we ook vol overtuiging, maar van bepaalde kwetsbaarheden of aanvalstrategieën wil je niet dat ze op straat komen te liggen."

Het is onduidelijk of die gegevens als staatsgeheim zullen worden aangemerkt. De directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid zegt 'tot op zekere hoogte' begrip te hebben voor de uitlatingen van de Rabobank-topman, maar wil er niet helemaal in meegaan.

Het is de vraag in hoeverre de vrees van de Rabobank terecht is. Het AD vroeg via een beroep op de Wob gegevens op over cyberaanvallen bij overheidsinstanties en bedrijven. In het document dat het AD kreeg, waren details en namen van banken weggestreept. Met die informatie zouden concurrenten en criminelen dus niets kunnen.

Moderatie-faq Wijzig weergave

Reacties (113)

Zoiets wil je juist altijd wel! WOB voorziet in openbaar bestuur, maar is al heel vaak een zwakke plek gebleken in ons staatsbestel waardoor informatie in verkeerde handen kan vallen. Het is ridicuul dat een wet erin voorziet dat criminelen achter kwetsbaarheden van ICT systemen kunnen komen. En zo maar stellen dat je elke kwetsbaarheid a la minute op kan lossen getuigd van enorme onwetendheid.

Staatsgeheim gaat echter te ver. Wellicht dat hier een andere wet voor kan worden aagenomen.
'Al heel vaak een zwakke plek' - heb je daar cijfers van? Over het algemeen wordt er na een WOB-verzoek heel weinig specifieke informatie gegeven, ook als het niet in de buurt kom van uitbuitbare informatie. Er wordt vaak gezegd dat de WOB misbruikt wordt, maar tot nu toe wijzen de paar cijfers er bekend zijn vooral op dat het om een heel klein probleem gaat. Dat er op basis van de WOB gevoelige info bij criminelen terechtgekomen is, is mij echt totaal onbekend, dus als je links of informatie daarover hebt: graag.

Overigens is er veel informatie die wel belangrijk is, maar niet uiterst gevoelig. Het kan dan bv gaan om het aantal lekken, het risico daarvan, het aantal keren dat een lek vermoedelijk is misbruikt, de tijd die nodig was om het op te lossen. Al deze informatie moet beschikbaar kunnen blijven, zelfs als je de technische details over een lek niet wilt vrijgeven.

Deze informatie kan belangrijk zijn om de veiligheid van de banken te beoordelen, en ook om meer inzicht te krijgen of mensen niet te makkelijk worden afgescheept met 'eigen schuld'. In Kassa en Radar zijn al diverse situaties voorbij gekomen waarin fraude niet vergoed werd, omdat er (zonder nadere informatie te geven en dus zonder dat dit te controleren is!) gezegd werd dat de schuld bij de klant lag. En de schade werd dan niet vergoed. Als achteraf blijkt dat er een lek was dat op grote schaal misbruikt was kan dat toch een ander licht op de zaak werpen en een patroon duidelijk maken dat een bank hun eigen falen afwentelt op de klanten.

De WOB voorziet al in de mogelijkheden om bepaalde gegevens niet vrij te geven als er grotere belangen in het spel zijn. Het is dus absoluut niet nodig om extra regelgeving te maken, maar maakt de mogelijkheid tot controle alleen maar minder.
Klopt, die zin is een beetje pointless zonder context. Mijn werkgever heeft veel '(semi)overheid'klanten die op hun beurt veel van deze zaken bij ons hebben laten behandelen. Zonder daar al te veel over uit te mogen wijden, ik zie nogal wat rare WOBs voorbij komen waar een oordeel over geveld moet worden. En het is niet duidelijk in het WOB verzoek wat de reden is van het WOB verzoek. Het is tevens ook geen eis die gesteld is aan een WOB verzoek. Niet in alle gevallen is het te achterhalen wat de eventuele schade is van het vrijgeven van informatie over bestuur.
Het is ridicuul dat een wet erin voorziet dat criminelen achter kwetsbaarheden van ICT systemen kunnen komen.
Dat is dus ook niet het geval. WOB heeft bepaalde beperkingen waardoor je niet zomaar de meest verttrouwelijke informatie kunt opvragen. In de toelichting van een willekeurige gemeente die ik heb opgezocht wordt het als volgt verwoord:
Uitzonderingen
In een aantal gevallen verstrekt de gemeente geen informatie. Dan is er volgens de gemeente een bepaalde reden voor. En die redenen zijn onder meer:

- het in gevaar brengen van de veiligheid van de staat;
- gegevens die personen of bedrijven vertrouwelijk hebben verstrekt aan de gemeente;
- gegevens waarvan het belang van het openbaar maken niet opweegt tegen het belang van de inspectie, controle en toezicht door de gemeente;
- gegevens waarvan het belang van het openbaar maken niet opweegt tegen het belang van de eerbiediging van de persoonlijke levenssfeer.
Hier op aanvullend. De WOB kent 4 absolute en 7 relatieve gronden waarop een verzoek geweigerd kan worden:

De absolute gronden:
1. Het verstrekken van informatie ingevolge deze wet blijft achterwege voor
zover dit:
a. eenheid van de Kroon in gevaar zou kunnen brengen;
b. de veiligheid van de Staat zou kunnen schaden;
c. bedrijfs- en fabricagegevens betreft die door natuurlijke personen of
rechtspersonen vertrouwelijk aan de overheid zijn meegedeeld;

d. persoonsgegevens betreft als bedoeld in paragraaf 2 van hoofdstuk 2 van
de Wet bescherming persoonsgegevens, tenzij de verstrekking kennelijk geen
inbreuk op de persoonlijke levenssfeer maakt.

De relatieve gronden:
2. Het verstrekken van informatie ingevolge deze wet blijft eveneens
achterwege voor zover het belang daarvan niet opweegt tegen de volgende
belangen:
a. de betrekkingen van Nederland met andere staten en met internationale
organisaties;
b. de economische of financiŽle belangen van de Staat, de andere
publiekrechtelijke lichamen of de in artikel 1a, eerste lid onder c en d,
en het tweede lid bedoelde bestuursorganen;
c. de opsporing en vervolging van strafbare feiten;
d. inspectie, controle en toezicht door overheidsorganen;
e. de eerbiediging van de persoonlijke levenssfeer;
f. het belang dat geadresseerde erbij heeft als eerste kennis te kunnen
nemen van de informatie;
g. het voorkomen van onevenredige bevoordeling of benadeling van bij de
aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel
derden.

Naar mijn idee valt dit onder 1C en is het dus al niet op te vragen via een WOB.
Dan kun je stellen dat het NCSC niet juist handelde toen deze gegevens werden opgevraagd.
"Staatsgeheim gaat echter te ver. "

Aan de andere kant zou ik geen valide reden kunnen opnoemen waarom kwetsbaarheden in de systemen van Rabobank openbaar toegankelijk zouden moeten zijn.
Staatsgeheim gaat in mijn ogen alleen maar te ver omdat het dan altijd geheim blijft. Het dient ook een groter doel om bijvoorbeeld die gegevens over 10 jaar vrij te geven. Of 5 jaar. Dan weten we namelijk wel wat voor janboel onze banken er van hebben gemaakt.

Wanneer het een staatsgeheim wordt verliezen de banken een deel van hun verantwoordelijkheid.
"Het dient ook een groter doel om bijvoorbeeld die gegevens over 10 jaar vrij te geven."

Dat is zeker waar, daarom ben ik het ook met je eens dat hiervoor een speciale wet in het leven moet worden geroepen. Maar deze informatie vind ik persoonlijk alleen belangrijk voor leerzame doeleinden, de bank is zelf verantwoordelijk voor zijn of haar beveiliging en draait zelf op voor de schade die daaruit voortvloeit, dus ik neem aan dat ze hierin hun verantwoordelijkheid nemen.

"Dan weten we namelijk wel wat voor janboel onze banken er van hebben gemaakt. "

Ik denk dat dat wel een beetje meevalt, natuurlijk worden er fouten gemaakt, en niets is perfect, maar banken nemen hun beveiliging over het algemeen wel zeer serieus, en terecht natuurlijk.
Dat banken al lang niet meer zelf opdraaien voor de schade die zij zelf aanrichten is nu toch wel duidelijk he? ;)
Staatsgeheim wil in dit geval zeggen dat het in het belang van de staat is dat het geheim blijft. De Rabobank heeft bijna 7 miljoen particuliere klanten (volgens Wikipedia) die het niet zullen waarderen als hun rekening geplunderd kan worden (of zelfs maar ingezien) vanwege een WOB-procedure die aangevraagd wordt door een crimineel.

Maar een toevoeging aan de wet die voorziet in een beperking van de WOB-procedure in speciale gevallen is zeker op z'n plaats, lijkt me :)
Met het eerste deel ben ik het volledig met je eens. Het tweede niet. De oplossing om het als staatsgeheim te classificeren is namelijk veel beter. We hebben het over een deel van onze financiŽle infractstructuur. Wanneer je bedenkt dat de ICT infracstructuur ook onder het staatgeheim valt dan vind ik het niet meer dan logisch dat dit voor banken ook geld.

Daarbij, hoe minder informatie over het systeem van een bank naar buiten komt des te beter het is. De Rabobank heeft zeer waarschijnlijk een andere structuur dan de ABN of ING. Deze conclusie kan je trekken doordat de Rabo zijn zaken veel beter voor elkaar heeft op security gebied (conclusie baseerd op security-problemen uit het verleden).
Ten tweede ben ik het niet met je eens omdat een beperking van de WOB gemakkelijk misbruikt zal gaan worden. 's Lands bestuurders hebben allang en veelvuldig laten blijken niet de verleiding te kunnen weerstaan om zaken onder het tapijt te schuiven. Een beperking van de WOB maakt dit alleen maar makkelijker.
conclusie baseerd op security-problemen uit het verleden
correctie op je verklarende tekst van je conclusie: conclusie baseerd op mij bekende security-problemen uit het verleden

Je kunt er niet voetstoots vanuitgaan dat jou danwel de mediawereld alle security-problemen van de banken ter ore komen. Los van de uit interne testen ontdekte security-problemen geldt datzelfde voor vrijwel alle problemen waar niet direct een grote klantenschare bloot is gesteld aan de gevolgen (geen nieuwswaarde, dus geen journalist die dat weet op te pikken.... als een bank door een DDoS platligt valt wel op en haalt het nieuws... maar in hoeverre dat een security-issue is is de vraag (het kan eventueel wel dienen om een echte aanval te verbergen danwel mogelijk te maken, dus 'onschuldig script-kiddie-vermaak' kun je een DDoS ook niet per definitie classificeren). Een service-issue en een probleem voor de bank zijn het zeker wel, want Jan en alleman moet ineens voor z'n bankzaken weer op het kantoor langs en daar zijn er inmiddels een stuk minder van.
Dit is redelijk onzinnig, zeker zonder voorbeeld. Bij een WOB verzoek mag een overheidsorgaan beoordelen of de aard en de gevoeligheid van de gevraagde informatie zich verzet tegen openbaarmaking. De WOB is een groot goed die zowel burgers als de samenleving dient. Ik kan mij geen voorbeeld herinneren dat zich voor heeft gedaan waar de WOB tot een veiligheidsrisico heeft geleid.
En hoeveel voorbeelden van WOB-verzoeken heb je voor jouw conclusie geraadpleegt? En welk percentage van alle verzoeken vertegenwoordigt dat?
Relatief veel, ik heb meegeholpen naar een onderzoek ernaar.
Als er een systematiek in de wet komt waardoor er controle en handhaving mogelijk is, dan kan dat. Al kan er een andere oplossing dan het label staatsgeheim komen.
Dan denk ik aan het volgende:

1. Rabobank ontdekt een lek en meldt dit.
2. Overheid controleert dit en geeft rabobank termijn voor oplossing. Binnen deze termijn is de informatie niet toegankelijk voor iedereen.
3. Na verstrijken van termijn niet opgelost? Dan (flinke) boete (tenzij een goede reden bestaat voor de vertraging) en nieuwe termijn.
4. Na oplossing lek, publicatie.

Dat lijkt mij beter dan het in de doofpot stoppen en hopen dat niemand het ontdekt.
Dat lijkt mij beter dan het in de doofpot stoppen en hopen dat niemand het ontdekt.
Doofpot? Als er dankzij een lek bij de bank geld van rekeningen afgehaald wordt moet de bank de kosten vergoeden. Dus de bank heeft echt dringende reden om het lek te dichten voordat iemand het vindt, en zal het niet in een doofpot stoppen.

Ik zie wel overeenkomsten hiermee. Het vrijgeven van deze informatie is gevaarlijk terwijl dit normaliter gepubliceerd moet worden.
Staatsgeheim dus niet echt, maar geheim wel degelijk, en niet vatbaar voor WOB-verzoeken.
In het geval wat jij beschrijft is dat inderdaad een goed beleid. Maar het publiceren van lekkages geeft de buitenstaander extensieve kennis van hun systeem. Of nieuwe ideeŽn over hoe ze het systeem kunnen benaderen.

Het is dus helaas niet altijd zo makkelijk. Ook worden Lekkages vaak ontdekt door externe partijen die hier juist naar opzoek zijn. In het beste geval is dit een partij die zich aan de gestelde regels houdt. Maar je kunt er niet omheen dat deze externe partij nu een extra partij is die afweet van deze lekkage. Hoe veilig dat bedrijf is, weet de Rabobank niet. In het ergste geval gaat het om een externe partij die juist gebruik wilt maken van deze lekkage. Deze zal dit exploiteren totdat Rabobank hier zelf achter komt. Het is dan in de interesse van de externe partij om anoniem de lekkage bekent te maken aan het grote publiek. Hierdoor ontstaat chaos en paniek. Dat vaak weer leidt tot fouten in de patch die weer opnieuw geŽxploiteerd kunnen worden. Of het haalt de focus van het beveiligingsteam van andere mogelijke lekkages waardoor deze weer misbruikt kunnen worden. Het vinden van andermans fouten is nou eenmaal makkelijker dan het vinden van je eigen fouten. Dit geldt natuurlijk ook voor de hacker. Maar zijn systemen zijn vaak minder complex en minder permanent.

Zelfs het bekent maken van de aantal lekkages kan al een hint geven. Als Rabobank minder lekkages vindt dan een gemiddeld andere bank kan het dus zo zijn dat Rabobank kwetsbaarder is dan andere banken en mogelijk gemiddeld een minder bekwaam beveiligingsteam heeft. Of andersom.
Lastige kwestie dit. Ik geloof niet dat je niks hebt aan een document met lekken van "een bepaalde bank in Nederland. Je zou dan alsnog kunnen proberen of het Rabobank, ABN of ING is en zo de grote banken alvast aftasten. Het is niet alsof we honderden banken hebben in Nederland.
Dat denk ik ook inderdaad. Ik heb wel begrip voor de uitspraak van de Rabobank. Of dat gaat lukken weet ik niet.

Ik denk dat je discussie breder kunt zien en ervoor kunt pleiten dat dit soort specifieke informatie sowieso niet MEE gedeeld moet worden (dus niet: welk systeem en welke kwetsbaarheid), maar alleen aantallen etc.

Let op: ik vind wel dat de overheid algemene informatie moet publiceren
Ik denk dat je discussie breder kunt zien en ervoor kunt pleiten dat dit soort specifieke informatie sowieso niet MEE gedeeld moet worden (dus niet: welk systeem en welke kwetsbaarheid), maar alleen aantallen etc.
Wat je bij dit soort discussies vaak mist is de factor tijd. Als er kwetsbaarheden worden gevonden moet je die natuurlijk niet meteen aan de grote klok hangen, maar moet je die eerst oplossen. Als dat vervolgens is gebeurd, moet je het wel bekend maken, en aangeven dat/hoe het probleem is opgelost. Bijvoorbeeld om anderen te waarschuwen waar in (vergelijkbare) systemen eventueel kwetsbaarheden zouden kunnen zitten. Wanneer men die kennis voor zichzelf houdt, gaan kwaadwillenden gewoon verder naar de volgende bank zodra een kwetsbaarheid verholpen is. En die volgende bank kan ook in het buitenland gevestigd zijn.
Als dat vervolgens is gebeurd, moet je het wel bekend maken, en aangeven dat/hoe het probleem is opgelost.
Je kunt het ook eerst bekend maken in kleine kring. Als je het probleem eerst zelf oplost, en vervolgens aan iedereen publiceert, dan kunnen er alsnog problemen ontstaan bij andere banken.
@Beuzelarij:
Als je het hebt over standaard software heb je een goed punt. Geheimhouding van opgeloste kwetsbaarheden doet uiteindelijk maar kwaad dan goed. Alleen: het gaat hier om banken. Die gebruiken weinig standaard software, zeker in d primaire systemen. Wat voor doel dient het publiceren van kwetsbaarheden in maatwerksystemen?
Wat voor doel dient het publiceren van kwetsbaarheden in maatwerksystemen?
Zorgen dat de banken eindelijk verplicht worden hun 30 jaar oude troep die -bij wijze van- met duct tape en paperclips aan elkaar hangt, op te ruimen.

Op zo'n moment kunnen ze er niet meer mee wegkomen alles maar aan de life-support hangende draaiend te houden en de vingers te kruisen dat er nooit iemand achter komt hoe gammel het werkelijk is.

[Reactie gewijzigd door R4gnax op 29 oktober 2013 19:09]

Want in nieuwe software worden nooit beveiligingsleks gevonden?
Want in nieuwe software worden nooit beveiligingsleks gevonden?
Bij nieuwe software, i.h.b. software die met gevoelige data om moet gaan, wordt over het algemeen tijdens het schrijven rekening gehouden met security aspecten.

Dat was zo'n 30 jaar geleden, toen de meeste bankaire software aan het leven begon, wel anders. Die software is in de loop der tijd een heel dure investering geworden, bevat veel niet duidelijk uitgespecifieerde bedrijfslogica, is geschreven in dode talen als Cobol en Fortran in een stijl die doorgaans totaal niet te doorgronden is, is geschreven in een tijdperk dat de gemiddelde programmeur totaal geen theoretische opleiding informatica genoten heeft, ... en is mission critical.

Je mag precies ťťn keer raden hoeveel daar daadwerkelijk aan gesleuteld wordt om problemen echt op te lossen en hoeveel er met wrappers / converters / adapters / etc. gewerkt wordt (zowel op software als hardware niveau) om het allemaal werkend en 'veilig' te houden.

[Reactie gewijzigd door R4gnax op 30 oktober 2013 12:24]

De Rabobank heeft het hier dus duidelijk mis.

Er moet een nationale informatie voorziening over alle kwetsbaarheden voor overheidsinstanties bedrijven en wellicht een apart systeem voor kritieke infrastructuur. En er moet een nationale organisatie zijn dat helpt op de korte termijn bedrijven met de kwetsbaarheden te assisteren.

In principe vallen dit soort zaken voor bedrijven als de Rabobank natuurlijk gewoon onder hun eigen budget, als uitgavepost. Het lijkt erop dat men het geld dat gemaakt is met het verkopen van bankgebouwen en ontslag van personeel niet in de benodigde beveiliging heeft gestoken.

En dan de hele handel ook eens een keer bij de EU aankaarten, maar verwachten dat de EU op korte termijn met gepaste oplossingen voor realistische budgetten gaat komen is verkeerd.

Naar mijn mening zal alles uiteindelijk neerkomen op het punt dat iedereen zich jaren lang in slaap heeft laten sussen door inlichtingendiensten, politiediensten en bedrijven die menen dat de beste digitale infrastructuur een spionage vriendelijke structuur is. Maar in werkelijkheid om het internet echt veilig te krijgen moet er gewoon altijd met discreet beveiligde verbindingen en encryptie gewerkt worden, inclusief de email van jan en alleman.

En als we ťťn ding wel kunnen leren is dat we vooral niet het voorbeeld van de NSA en de staatsgeheimen moeten volgen.
Volgens mij heb je niet helemaal begrepen hoe het in elkaar zit.
Als de bank een kwetsbaarheid ontdekt in haar systemen is ze verplicht dit te delen met de overheid (en de andere banken) zodat andere banken hierop kunnen acteren (bijv een patch installeren) als ze last hebben van dezelfde kwetsbaarheid.

Banken mogen elkaar niet beconcureren op (cyber)security

alleen omdat ze dit moeten delen met de overheid valt het onder de wet openbaarheid bestuur (WOB) en kan iedereen dit opvragen nog voor het lek goed en wel gedicht is.

Persoonlijk ben ik er ook niet zo'n voorstander om dergelijke informatie achter slot en grendel te houden (dat zou "security through obscurity" zijn) maar er moet wel een redelijke termijn zijn waardoor de informatie niet openbaar wordt voordat het lek goed en wel gedicht is.
Ik denk dat als er een organisatie zich hiermee bezig houdt dat deze ook heel goed kan inschatten wat openlijk gepubliceerd moet worden en wat aan de overheid moet worden gemeld.

Het kan dus zo werken dat er een eerste meldingsplicht is aan deze organisatie, waarna er bemiddeld kan worden om met de eerste bedreiging om te gaan, en dat er na een bepaald termijn dan een publieke melding wordt gemaakt.

Het termijn geeft de bedrijven dus even de tijd om een tijdelijk oplossing te treffen indien nodig en door een meldingsplicht te hebben bij de organisatie die ook kan meehelpen met de oplossing is er dus ook meteen contact en een soort druk on daadwerkelijk met oplossingen te komen.

En door de publicatieplicht bij de bedrijven zelf weg te nemen zal het ook niet zijn gauw voorkomen dat er langdurig zaken verzwegen worden.
Met "een organisatie" bedoel je het nationaal cyber security centrum?
of bedoel je dat die organisatie buiten de overheid moet vallen? en als dat is wat je bedoelt hoe gaan we die organisatie dan conroleren? want de controle op het NCSC vindt nu dus plaats op basis van de Wet Openbaarheid Bestuur.

De werkwijze die je beschrijft bestaat dus al en de organisatie die je in het leven wilt roepen ook, alleen is die organisatie een overheidsorganisatie die alles moet delen op basis van de WOB.

Als je inderdaad bedoelt dat het NCSC buiten de overheid moet komen te vallen dan creeer je een situatie dat de hoge heren die daar zitten gaan beslisen wat wel en niet gedeelt wordt met het publiek/de samenleving en dan wordt er uiteindelijk dus net zoveel openbaar als wanneer dit soort informatie als staatsgeheim wordt bestempelt.
Nou ik bedoel eigenlijk een nationaal cyber security centrum met specifieke taak van het veiligstellen, garanderen van kritieke infrastructuur. En ja dat zal toch gauw een overheidsinstelling moeten zijn, want bedrijven toch weer kwetsbaar voor het afnemen van bepaalde ICT producten. En ook zullen security bedrijven eerder bereid zijn mee te werken met een onafhankelijk instelling dan een potentiŽle concurrent.

Een nationaal cyber centrum lijkt mij ook nodig maar dan meer voor alle soorten bedrijven (want elke sector kan bedreigt worden, maar is dat is niet meteen kritiek voor onze infrastructuur). En juiste en tijdige informatie voorziening lijkt me meer een taak voor deze organisatie.

Het gaat dus om een stukje ICT specialisatie welke vergelijkbaar is met antiterreur eenheden (er zit ook vast een leuke politiek winnende slogan in zo'n voorstel).

En ik stel dus voor om dat deze organisatie wel een publicatieplicht heeft maar dat er dus een termijn (of een aantal termijnen) aan vast zit en dat de bedrijven zoals banken dus een meldingsplicht hebben aan deze organisatie.

Helaas is er geen foolproof methodologie i.v.m. met meldingsplicht en staatsgeheim. Inmiddels worden staatsgeheimen ook doorgespeeld aan bedrijven, zoals het hele Snowden verhaal ook heeft duidelijk gemaakt.

Maar we moeten vooral niet de winsten van bedrijven gaan veiligstellen met staatgeheimen.

Wat ik hier nog aan toe wil voegen is dat deze organisatie dus ook over bepaalde (eventueel hardwarematige) technologische oplossingen zou kunnen beschikken om om te gaan met de alom bekende DDOS aanvallen. Zodat de bedrijven zelf ook niet telkens op stel en sprong zijn gedwongen met de aanschaf van nieuwere en duurdere apparatuur.

[Reactie gewijzigd door fevenhuis op 29 oktober 2013 18:51]

Alles wat je benoemt is niet slecht maar je bent volgens mij niet goed op de hoogte wat er al gedaan wordt en wat er al beschikbaar is.
Misschien moet je even lezen wat de missie van NCSC is en met wie ze allemaal samenwerken.
https://www.ncsc.nl/

En over de DDoS opmerking wil ik dit er nog even aan toevoegen.
http://blog.radware.com/s.../4-massive-myths-of-ddos/
Er wordt al veel gedaan om DDoS aanvallen tegen te gaan en ook daar wordt veel samengewerkt met netwerkproviders (de KPN's de Vodafones en Verizons van deze wereld)
Dan lijkt me inderdaad dat we de juiste organisatie al hebben en dan lijkt alleen het stukje meldingsplicht aan deze organisatie en op termijn publicatie van de gemelde problemen nog te ontbreken.

Wat DDoS zat ik inderdaad eigenlijk meer te denken aan dat soort oplossingen, maar wellicht ook de benodigde apparatuur om aanvallen af te slaan, of bepaalde routeringen over te nemen.

Wat DDoS is het wellicht handig op apparatuur achter de hand te hebben die niet in de dagelijks gebruikte infrastructuur zit en waar de aanval dus niet direct op voorbereid is, en dat kan dus in een vroeg stadium een stukje benodigde voorsprong geven.
Ik ben het grotendeels met je eens. Geef ze inderdaad even de tijd dat het buiten de Wob valt, zodat het in stilte kan worden verholpen en er niet (meer) schade oplevert.
Maar.. is het niet binnen de gestelde termijn opgelost, jammer dan en de informatie volledig beschikbaar stellen. Al verwacht ik van een bedrijf als een bank dit zelf aan haar klanten meld in plaatst van hen in het donker houdt.
het probleem is dat je bepaalde lekken dus in de doofpot kunt drukken omdat ze te duur zijn om op te lossen, ik als burger en klant eis het recht te kunen achterhalen of de overheid zijn taak hier goed uitvoerd namelijk het controleren van de pryvacy en de veilgheid van ons bankwezen. immers het hele land stort ineen als die er een potje van maken.

sorry rabobank maar ik zeg NEE, er zijn vast andere manieren om te zorgen dat jullie voldoende tijd ijgen om problemen op te lossen. tijdelijk gegevens anonimiseren zou er daar een van kunnen zijn.
Ok, de Rabobank vind een ICT beveiligings issue.
Ze melden het en lossen het op. DAARNA word het pas openbaar.

Slimme hacker: laten we dat lek eens uitproberen bij de ING, Abn Amro en SNS bank. Die zitten ten slotte ongeveer op het zelfde framework/software/bedrijfstak.

Kassa!!!
Behalve de risico's die het publiceren van informatie over nog niet opgeloste beveiligings issues met zich meebrengt is er nog een reden waarom banken dit geheim willen houden.
Het voorkomen van imago schade.

De eerste reden kan ik (voor een beperkte tijd) billijken. De tweede helemaal niet. Zoals de Rabobank al aangeeft betreft dit kritieke infrastructuur. dwz. wij, de burgers, zijn ook belanghebbende. We hebben informatie nodig om ons zelf te kunnen beschermen door, bijvoorbeeld, geen zaken meer te doen met de slechts presterende bank op veiligheidsgebied.

Mijn voorstel is dan ook een geheimhouding van de inhoudelijke aspecten van het probleem, voor een beperkte tijd, maar onmiddellijke publicatie van het feit dat er een probleem is, met inhoudelijke informatie voor zover veilig wordt geacht.

[Reactie gewijzigd door locke960 op 29 oktober 2013 11:36]

Helemaal mee eens. Geheimhouding mag niet misbruikt worden om je onder verantwoordelijkheden te kunnen uitdraaien of je fouten onder het tapijt te vegen. Een geheimhoding van een jaar, maximaal 2 (als er een goede reden is) lijkt me goed genoeg.
controleren van de privacy, maar je wilt wel alle informatie over de bank ontvangen.... ?
In het document dat het AD kreeg, waren details en namen van banken weggestreept
De vraag is natuurlijk in welke mate die details zijn weggestreept, maar het is dus niet zou dat je louter niet weet om welke bank het gaat.
Mee eens, het is makkelijk om de bank te achterhalen met wat kennis van de bankwereld.
Heb zelf bij drie grootbanken gewerkt (ICT) en zou op basis van de geanonimiseerde maar genoemde systemen en beschrijvingen wel aardig kunnen aangeven om welke bank het dan zou kunnen gaan. Alhoewel er altijd meervoudig gebruikte systemen kunnen zijn (paketten vnl).
Zoiets wil je alleen als je niet van plan bent de kwetsbaarheden op te lossen...
Dat vind ik wel erg kort door de bocht. De Rabobank heeft toch geen enkel belang bij het in stand houden van lekken, ondanks dat ze bestempeld zijn als staatsgeheim? Het dichten van zo'n lek kost enige tijd en in de tussentijd wil je inderdaad niet dat een crimineel dat lek kan ontdekken via een WOB-procedure. Tegelijkertijd vraag ik me af hoelang zo'n WOB-procedure in zo'n situatie mag duren. Het lijkt me niet moeilijk die procedure dusdanig te vertragen dat de Rabobank (of welke willekeurige andere bank dan ook) het lek kan dichten voor de WOB-procedure is afgehandeld. Maar ik ben geen ICT'er, dus ik weet het ook niet zeker.
Dan moeten ze de kwetsbaarheden oplossen. Als een lek bekend is kunnen mensen zichzelf indekken zodat criminelen er geen misbruik van kunnen maken, totdat het opgelost is.

Dit zou ertoe lijden dat de reputatie van organisaties beschermd word en iedereen denkt dat ze volledig veilig zijn, terwijl dat niet zo is.

Wat als de Rabobank een veiligheidslek heeft en jouw geld wordt gestolen, gaan ze dan toegeven dat ze zelf een lek hadden en jouw je geld teruggeven? Nee want dat is dan een staatsgeheim, dan ben je dus je geld kwijt.
Goed argument.

Waar ik me zorgen om maak is dat banken en eventueel andere instellingen de schone schijn ophouden terwijl er achter de schermen aangerommeld wordt. Wat onzichtbaar blijft voor pers en burger leidt tot corruptie.

ICT brengt banken in een moeilijke positie. Maar ICT brengt eigenlijk alles en iedereen in steeds moeilijker posities.
De kans dat een bank een lek heeft waarbij jij je kan indekken is zo goed als onbestaande. Als de bank een lek heeft wil dat meestal zeggen dat de deur wijd openstaat.

Je redenering is een beetje krom. Het zou willen zeggen dat je, bij een niet gedocumenteerd lek, je geld ook kwijt bent. Het zou de bank in staat stellen zelf een hold up te plegen. Ze steken er een lek in, of documenteren een bestaand lek niet en gaan het zelf uitbuiten om je geld afhandig te maken.

Met zo een gedachtengang kan je best al je geld in een sok steken. Centraal staat de garantie dat je je geld terugkrijgt bij een hack. Een beetje security through obscurity om je geld zo lang mogelijk veilig te houden lijkt me dan aangewezen. Sommige dingen vragen tijd om goed te fixen en informatie niet publiek maken geeft hun wat extra tijd.
Wat als de Rabobank een veiligheidslek heeft en jouw geld wordt gestolen, gaan ze dan toegeven dat ze zelf een lek hadden en jouw je geld teruggeven? Nee want dat is dan een staatsgeheim, dan ben je dus je geld kwijt.
Wat als je lokale Rabobank wordt overvallen en jouw geld wordt gestolen?

Tegenwoordig is al het geld zo'n beetje giraal, maar vroeger was er veel cash op kantoren.

De oplossing, in allebei de gevallen: Het deposito-garantiestelsel. Of het nou digitaal of analoog gebeurd, jouw geld is gegarandeerd. Alle banken en de overheid staan hier samen garant voor.

Je kunt natuurlijk ook je geld in een ouwe sok onder het matras stoppen. Als je dan bestolen wordt, dan staat er niemand ergens voor garant. Zelfde geld voor bitcoin, als je 's nachts wat ongemakkelijk ligt op zo'n matras.
Als een WOB-verzoek te traag wordt behandeld kost het de overheid doorgaans behoorlijk wat geld. Zodoende is al veel geld weggelekt.
Tuurlijk, de banken hebben zelf de verantwoordelijkheid om hun systemen te beveiligen en lekken dicht te timmeren. Maar, we hoeven de boefjes ook weer niet wijzer te maken dan ze al zijn.
Bovendien, niet alle gevaren zijn aan de bank zijde van het systeem, de kwetsbaarheid kan ook aan de gebruikerszijde zitten en dan kan de bank er niet altijd wat aan doen.
Ik ben sowieso geen fan van die WOB-wet maar dat is een andere discussie.
Ik ben sowieso geen fan van die WOB-wet maar dat is een andere discussie.
Je geeft ongeveer de helft van al je inkomen aan een instantie en WIL niet eens weten of ze er wel goed mee omspringen?

Het hele punt van het systeem is dat problemen gemeld worden zodat eventueel andere getroffenen gewaarschuwd kunnen worden en te controleren of er wel vooruitgang wordt geboekt. Het verklaren tot "staatsgeheim" is een veel te zwaar middel dat riekt naar ontduiking.

Er zijn ook binnen de wet voldoende manieren om gevoelige informatie niet direct door te spelen of onherleidbaar te maken tot specifieke gevallen
Je geeft ongeveer de helft van al je inkomen aan een instantie en WIL niet eens weten of ze er wel goed mee omspringen?
Nogal offtopic maar vooruit: Ja, ik wil dat best weten maar, Nee, niet via een WOB. Al die instanties hebben hun boekhouding te verantwoorden aan accountants en hogere bestuurslagen, ik vertrouw erop dat zij dat controleren. Zal vast niet altijd goed gaan en dat vertrouwen zal ongetwijfeld wel eens beschaamd worden maar het zij zo.

De keerzijde van de medaille is namelijk dat die WOB te pas en te onpas wordt gebruikt, niet om informatie boven tafel te krijgen maar om geld te verdienen. Er zijn een hoop mensen die er een baan van maken om vele wob-verzoeken in te dienen en te hopen dat de gemeente of andere instantie te laat de gevraagde documenten verstrekt. Na overscheiding van de gestelde termijn krijgt de aanvrager geld (ik meen orde groote §600,-) van de desbetreffende instantie als compensatie.

Gevolg is dat de (bestuurs)instanties extra geld moeten betalen en in ieder geval veel werk hebben aan het behandelen van de verzoeken (veelal onzinnig, b.v. of de overheid even alle rapportages over hun chemtrail activiteiten wil openbaren).

Dus de vraag, heeft het zin? Zonder de exacte cijfers te kennen kunnen we het wellicht eens worden over de volgende stelling:
stel, een instantie besteed jaarlijks een bedrag X onjuist en wordt rechtgezet middels WOB maar besteed voor alle WOB verzoeken jaarlijks een bedrag 2X, is die WOB-wet dan ůf een effectief instrument om onbehoorlijk bestuur in te perken ůf een medicijn dat erger is dan de kwaal?
Of omdat het tijd kost om de kwetsbaarheden op te lossen...
Beetje kort door de bocht. Soms kost het nu eenmaal tijd om een kwetsbaarheid op te lossen, vanwege het risico dat er elders weer iets omvalt in de keten. Je moet dat goed testen, want sommige ketens kunnen zeer complex zijn.

En een fix moet sowieso vaak ook nog geschreven worden als het om een bug gaat, ook daar gaat tijd in zitten.
Juist niet kort door de bocht. Zodra je het staatsgeheim maakt neem je de incentive weg om het lek te dichten (of in elk geval laag op de prioriteiten te plaatsen).

Ondertussen leeft men in een schijnveiligheid tot het lek uitlekt (en ieder lek komt uiteindelijk boven water, geheim of niet) en kan worden misbruikt.

Als de bank zelf het lek vindt moeten ze direct zorgen voor een oplossing. Ja dat kost tijd. Maar het staatsgeheim maken heeft geen positieve invloed op de benodigde, nog de beschikbare tijd.

En stel dat ik zo een lek vind: Dan is het direct een staatsgeheim? En dan mag ik het dus eigenlijk ook niet met de bank/oorsprong delen?

Dat het geen staatsgeheim wil niet zeggen dat het openbaar moet maken.
Onzin dat een staatsgeheim de incentive wegneemt. Door de melding is er juist sprake van openheid naar de overheid toe, en die kan veel effectiever een bank straffen als deze laks is. Bijv. door de bankvergunning in te trekken.

En als de informatie geen staatsgeheim is, is deze in principe altijd openbaar en opvraagbaar (Wob). Zo zit de wet nu eenmaal in elkaar.
Sommige lekken kun je niet in een korte tijd dichten.

Aangezien er naast informatie over lekken of mogelijke security risico's ook details over hoe je zaken beveiligd hebt worden overhandigd wil je als organisatie natuurlijk niet dat details over jouw omgeving zonder meer opgevraagd kunnen worden.
Zou erg dom zijn, aangezien de bank zelf bij een lek op kan draaien voor de schade, dus wat voor voordeel zouden ze daar bij hebben?
waarom niet een policy zoals gebruikelijk is bij ontdekte exploits in software ? rabobank meldt het bij het cyber security center, en die stellen een standaard termijn in waarin rabobank de tijd krijgt het te fiksen. na verstrijken van de termijn volgt full disclosure, of het nu gefikst is of niet...

zie ook http://www.zerodayinitiat...sories/disclosure_policy/
Omdat als blijkt dat hun fix een onverwacht effect had op een ander systeem, waardoor ze toch nog wat langer nodig hebben, ik niet wil dat ze de keuze maken tussen rekeningen geplunderd en een onstabiel systeem.

Als dat Cyber Security Center het in de gaten houdt en boetes oplegt wanneer nodig lijkt mij dat prima. Maar exploits in je bank-software publiekelijk bekend maken lijkt me wel een extreem slecht idee. Leuk in theorie hoor, maar toch liever niet. Dan heb ik liever dat mijn bank de wet overtreedt en die exploits voor zichzelf houdt.
ik begrijp uit het oorsprokelijke verhaal dat het nu al vanaf dag 0 openbaar is (onder de WOB). elke termijn die de bank krijgt om zonder full disclosure een fix aan te brengen is een verbetering, zonder naar het draconische middel van 'staatsgeheim' te grijpen.
Dat is niet helemaal waar.
Ten eerste moet je bij de WOB zelf een vraag indienen en dat beperkt de kans dat je precies op dag 0 die vraag indient behoorlijk. (Het wordt zeker niet geaccepteerd om elke dag een verzoek in te dienen.)

Ten tweede kent de WOB een afhandelingstermijn van 4 weken plus een eventuele (maar veelgebruikte) verlenging van 4 weken.

Ten derde biedt de WOB binnen de huidige regels al diverse mogelijkheden om bepaalde informatie niet openbaar te maken.

In de praktijk houdt het dus in dat het absoluut niet zo is dat de informatie meteen beschikbaar is. Geen RSS-feed met 'lek van de dag' ofzo.
Dit lijkt me logisch dat zulke dingen niet in het openbaar komen.
Natuurlijk moet in dit geval de Rabobank wel de kwetsbaarheden fixen en niet zo zijn van dat niemand er achter kan komen omdat het nu "staatsgeheimen zijn".
Ik ben bang dat dat wel gebeurt, de druk is er dan af.
De druk van buitenaf misschien, niet van binnenuit. Het is prettig als je niet als een kip zonder kop overhaast patches moet gaan aanbrengen of bokkensprongen moet maken omdat een lek out-in-the-open is. Tijd is een kostbaar goed in zulke situaties.

Als jij als organisatie verantwoordelijk bent en (ICT-)beveiliging hoog in het vaandel hebt staan, zul je kritische kwetsbaarheden altijd aanpakken, ongeacht of dat deze reeds bekend zijn. Security through obscurity is een bekende kreet en het werkt niet. Als je jezelf serieus neemt, vertrouw je daar dus ook niet op :).
Een WOB verzoek kan sowieso maanden duren, ik hoop dat de Rabobank zijn problemen dan al heeft opgelost!
Een WOB-verzoek hoort in principe binnen 4 weken beantwoord te worden, met eventueel een eenmalige uitstelling van nog eens 4 weken. Zie http://www.rijksoverheid....heid-van-bestuur-wob.html

Dat valt dus ook wel weer mee ;)

Een lek fixen kost soms nu eenmaal gewoon veel tijd. Sowieso het eventuele programmeerwerk, dan de test, de ketentest, en de daadwerkelijke implementatie. Dat moet nu eenmaal zorgvuldig gebeuren, voor er elders weer wat anders omvalt, of er nieuwe lekken worden gecreŽerd door de fix.
Jij gaat ervan uit dat de Rabobank op dag 1 melding maakt van het probleem en dat de overheid op diezelfde dag een analyse van het probleem verwerkt heeft in een rapport en vervolgens binnen de minimale termijn beslist en de opgevraagde gegevens overhandigd. :)

[Reactie gewijzigd door MDadm op 29 oktober 2013 10:46]

De WOB gaat niet over rapporten of documenten (zoals in veel ander landen), het gaat over informatie. Je kan dus alles vragen en als die informatie er is (al dan niet in een mooi rapportje) moet de overheid die informatie bij elkaar zoeken en vrijgeven. Daarnaast moet volgens het concept van de meldplicht een lek "onverwijld" dus onmiddellijk worden doorgegeven. Dus ja vanaf dag 1 zou de informatie voor WOB beschikbaar zijn.

Wel lijkt me dat dit zoals eerder gezegd inderdaad onder 1C van de WOB zou vallen en daarmee lijkt mij het verhaal al wel voldoende te zijn afgeschermd.
Dat soort informatie aanmerken als staatsgeheim is een veel te zwaar middel voor een (feitelijk) niet bestaand probleem. Met een WOB kun je namelijk geen privacy-gevoelige of vertrouwelijke informatie van derden (zoals banken) opvragen. Als dat wel zo zou zijn dan zou de overheid nooit meer dat soort informatie kunnen registreren. En dat zou natuurlijk echt hele rare situaties opleveren.
Dat lijkt me niet verstandig aangezien dit weer een heel mooi target is voor kwaadwillenden.

Daarnaast hebben we de afgelopen tijd wel gemerkt hoe "geheim" staatsgeheimen eigenlijk zijn.
Weet niet of het erg slim is van de Rabobank om dit zo naar buiten te brengen.
Dan hoeven ze die kwetsbaarheden niet op te lossen en kan de NSA er lekker gebruik van maken. Inclusief elke andere crimineel die er ook achter komt en het via annonieme communicatie bekend maakt. Zo dom dit.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True