Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties

Nederlandse bedrijven en overheden melden hacks vaak niet, zo zegt geheime dienst AIVD in zijn jaarverslag. Andere overheden plegen de hacks in toenemende mate om de hand te leggen op bedrijfsgeheimen of wetenschappelijke kennis.

Bedrijven en overheden melden de hacks vaak niet uit angst voor de gevolgen van de melding, zegt de AIVD. Daardoor kunnen buitenlandse geheime diensten makkelijk meer digitale aanvallen uitvoeren, omdat er geen kennis is over hoe ze worden gepleegd. "Zij zijn bang voor imagoschade en claims als gevolg van ontevreden klanten, burgers en/of aandeelhouders. En ze zijn beducht voor vervolginfecties door na-apende hackers en ongefundeerde beschuldigingen tegen vermeende aanvallers."

Overheden van andere landen zetten hun geheime diensten steeds vaker in voor dingen die niets met veiligheid te maken hebben; ze proberen bij bijvoorbeeld bedrijven en wetenschappelijke instellingen kennis te vergaren om hun eigen bedrijven en universiteiten te bevoordelen. De AIVD mag deze economische spionage niet uitvoeren.

Deze aanvallen vonden afgelopen jaar op grote schaal plaats. "De aanvallers hebben de netwerken van diverse bedrijven ongemerkt, diepgravend en grootschalig geïnfiltreerd en zeer gericht informatie verzameld. Hierbij zijn op grote schaal hoogwaardige technologische informatie en vertrouwelijke bedrijfsinformatie, zoals blauwdrukken, handleidingen, projectplannen en offertes, weggesluisd." De geheime dienst noemt geen namen van bedrijven.

Digitale aanvallen komen steeds vaker voor, zo stelt de AIVD. Bovendien maken mensen en bedrijven zich kwetsbaarder voor aanvallen door het gebruik van sociale media. "Dat maakt het voor buitenlandse inlichtingen- en veiligheidsdiensten eenvoudiger om potentiële doelwitten te identificeren en op een succesvolle manier te benaderen."

Moderatie-faq Wijzig weergave

Reacties (63)

Jammer dat er de parlementaire discussie niet bij is gepakt in het artikel.

Het voorstel is nog in behandeling voor in de tweede kamer:
http://www.eerstekamer.nl...662_meldplicht_datalekken
Meldplicht datalekken:
Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.
Was er niet laatst in het nieuws dat was afgezwakt naar ernstige lekken?
Wij hebben ooit een keer een hack gehad met ons bedrijf. De gevolgen waren vrij klein voor de klanten maar toch. Een melding aan de politie had tot gevolg dat niemand wist wat hij moest doen. Na het inschakelen van een advocatenkantoor heeft het ministerie van Justitie een melding gemaakt en heeft gemeld er snel op terug te komen. Helaas nooit meer wat van vernomen.

Er zijn gewoon geen mensen werkzaam bij de overheid die hier wat mee kunnen. Alleen juristen; en die verdrinken in de terminologie.
Alle werknemers die er wel verstand van hebben werken bij de beveiligingskant van de overheid, justitie en politie.

In NL lopen we gewoon zwaar achter. Politici hebben geen idee waar ze het over hebben. Ik als IT-er vind het vaak nog lastig om precies te begrijpen hoe ze bepaalde zaken voor elkaar krijgen. Ik neem het ze niet kwalijk; echter als ze niet inzien wat de ernst en schade van deze zaken zijn dan komt de overheid nergens. ICT is in het hart van het dagelijks leven en het budget van bescherming van bedrijven en burgers is gewoonweg onder de maat.
Begrijpt het wel want bedrijven lijden dan vaak wel vaak aan image schade.
Weet je waar ze dat ook dachten? In China, tijdens de SARS-epidemie. Op verschillende lagen in de overheden werd de uitbraak van het virus stilgehouden. Voor zover de centrale overheid op hoogte was van de situatie, werd dit alsnog naar de buitenwereld verzwegen. Uiteindelijk is er via de brief van een arts uitgelekt dat de situatie geheel niet onder controle was.

Wat denk je? Binnen enkele weken was de ziekte wel onder controle. Ineens voelde de overheid te drang om noodmaatregelen te nemen – met succes. Transparantie is belangrijk; het imago van een bedrijf doet er niet toe. Dan hadden ze de zaken vanaf begin af aan maar op orde moeten hebben.
Het verschil hier is dat als je wel meldt - probleem 1 is bij WIE?

Toen ik dus keer wat GING melden bij politie, na lange procedures te doorlopen hebben.

Kwam het erop neer dat ze zaten met WAAR.
Had bedrijfsnaam - was in Italie - en politie: "Ja JAMMER DAN, wij kunnen alleen iets BINNEN Nederland".

China is nog erger overigens.

Oplichtingspoging tegen mij van ebay-er probeer DAAR maar eens aangifte van te doen in China - de homepages van de politie in China staat wel email adres bij - maar als je daarnaar email stuurt komt het niet door de grootste firewall ter wereld heen.

Ik op mijn chat toevallig 2 bobo's uit China - probeer daar dezelfde vraag aan te stellen: "hoe aangifte te doen?". Hoppa geen reactie.

De meeste hacks die hier geprobeerd worden of zijn - daar staat dus lekker niet bij wie het geprobeerd heeft.

Zo werd mijn firewall ooit eens een maand lang bestookt vanuit ogenschijnlijk BRAZILIE.

Hoe ga je DAAR aangifte van doen als zelfs aangifte van bedrijf in Italie al niet lukt?
Dan hadden ze de zaken vanaf begin af aan maar op orde moeten hebben

Sterker nog, indien met het moet melden, worden de gevolgen van een gegevenslek opeens groter, en neemt het animo van het bedrijf om maatregelen te nemen ook groter.

Het grote voordeel is dus niet eens (enkel) reactief, maar (ook) proactief.
Wat denk je aan de schade die ze lijden als er echt waardevolle informatie wordt buitgemaakt ? Is de schade dan niet groter, of als het b.v. later toch op een andere manier bekend wordt dat je gehackt bent. Dan is het vertrouwen toch helemaal zoek.

Ik denk dat tijdig melden beter is. Je geeft idd toe dat de boel niet dicht zat maar je geeft wel het vertrouwen dat je er op let, je er wat aan doet en als dat je het niet verzwijgt. Wat heb je liever als klant zijnde ?
Als de ING morgen komt melden dat een club de bankgegevens heeft van 5 mln rekeninghouders,
wat voor positieve draai wil je daar aan geven?

Dat is het kwalijke van digitale data,
je trekt zomaar even de gegevens van heel burgers naar je toe.

De optie gebruiken om in stilte achter de groep aan te gaan kan effectiever zijn.
De optie gebruiken om in stilte achter de groep aan te gaan kan effectiever zijn.
Als je binnen een paar dagen of een week die groep met onomstootbaar bewijs gevonden hebt wel ja. Maar guess what? Zulke groepen weten donders goed waarmee ze mee bezig zijn en gebruiken elk denkbaar middel om zich te verbergen anders wel ermee weg te komen.

Een bank is grotendeels berust op vertrouwen. Als een bank dat schaad is het nergens meer.

Het enige wat werkt is enkel de essentiŽle gegevens opslaan anders wel het opdelen in verschillende bedrijven / instanties.
[offtopic] Helaas heb ik bij meerdere banken de ervaring opgedaan dat het personeel zodanig veel vertrouwd dat de bank alles goed doet dat als je problemen ondervind het probleem bij jou ligt.

Zo heb ik bij de Rabobank gemeld dat de internet bankier app niet controleert of de pas waarbij deze geactiveerd is geblokkeerd is na activatie als er een transactie wordt uitgevoerd waarbij geen Random reader code voor nodig is. dit werdt simpel weg weggewuifd met "we weten niet wat die transactie heeft geÔnitieerd, iemand zal wel je pincode weten van de nieuwe pas".pas na veel gedoe is er actie ondernomen.

bij de ABN problemen gehad met dat via internet bankieren transacties niet weergegeven nieuwe transacties niet weergegeven werden, er was geen storing geweest het probleem zou bij mij liggen, moest ik maar goed kijken, haal je geld maar terug bij de ontvangende partij.

En laatst was er ook op tweakers dat als er problemen zijn nieuwe transacties dat het eerst volop in de media moet komen voordat de bank wil denken aan dubbele transacties uit het systeem te halen als er een storing was ten tijden van het uitvoeren.

Het algemene idee bestaat dat een bank te vertrouwen is, maar de banken boeit het gewoon niet als er financiŽle schade is ontstaan door technische mankementen terwijl jij met gezond verstand en naar goed geweten handelt, zonder bank kun je ook niet dus zolang er niet massaal wordt overgestapt is er geen probleem.
bij de ABN problemen gehad met dat via internet bankieren transacties niet weergegeven [...] werden, er was geen storing geweest het probleem zou bij mij liggen, moest ik maar goed kijken, haal je geld maar terug bij de ontvangende partij.


Deze klacht heb ik vaker gehoord van andere ABN-AMRO klanten. Niet in behandeling en niet uitgevoerd, maar wel verzonden. Het schijnt dan wel dat op een gegeven moment een dag later of zo deze toch 'magisch' verschenen. :?
En in de tussentijd kunnen ze je gegevens / paswords e.d. gewoon hun gang gaan omdat je klanten niet weten dat er wat gebeurd is en je beter de boel kunt veranderen...
Het is niet zo zeer om er een positieve draai aan te geven maar opheid van zaken kan nog meer leed voor zijn...
Maar dat snap jij als tweaker. Ik betwijfel of bijvoorbeeld ouderen ook zo denken.
Neem de USA Target hack. In de weken daarna schijnen mensen echt in merkbare aantallen die winkel gemeden te hebben. Plus dat over een paar jaar dit nog steeds 'de' hack is. Op de schaal van Target is het moeilijk stil te houden, maar een klein bedrijf zal daarom best wel eens de gok kunnen wagen ... Wellicht dat de hackers niks buitgemaakt hebben, wellicht dat men de gegevens niet kan misbruiken, wellicht dat onze encryptie ze tegengehouden heeft, etc etc.

Voeg ook juridische aansprakelijkheid toe. Als het niet ontdekt wordt, is men niet aansprakelijk voor eventueel schade. Als het wel ontdekt wordt, kan men het bedrijf aansprakelijk stellen voor lakse beveiliging.

Vandaar ook dat er een wetgeving moet zijn die bedrijven en overheden dwingt het openbaar te maken op straffe van grote boetes en liefst persoonlijke aansprakelijkheid van leidinggevende die het stil houden.
In diverse USA staten bestaat daarom ook dat soort wetgeving. Dat veel data-hacks in Californie plaatsvinden is niet enkel omdat daar veel ICT bedrijven zijn, maar ook omdat daar heel erg strenge meldingswetgeving bestaat.

Anders gesteld: Dat je weinig/minder uit Nederland hoort, is niet omdat hier minder hacks zijn...
Ook leuk dat ze in stilte achter de hacker aangaan, maar als het 3 maanden later alsnog bekend wordt (zonder dat ze de boosdoener te pakken hebben) zullen ze dit alsnog toe moeten geven, Als ze dit meteen hadden gemeld, had je in ieder geval zelf de schade nog enigzins kunnen beperken, door in ieder geval je wachtwoord, etc.. aan te passen.
Tenzij ze natuurlijk de schade voor lief nemen, totdat de dader gepakt is, dan zou het inderdaad effectiever kunnen zijn, maar de vraag is in hoeverre ze de schade op die hacker kunnen achterhalen..
Als klant van de ING heb ik liever dat ze ervoor uit komen en mij in ieder geval dringend vragen mijn wachtwoord aan te passen, en het bericht dat ze maatregelen hebben genomen om de ernst van de situatie in te perken, en eventuele geleden schade zullen dekken.

Dit soort informatie onder de pet houden gaat VEEEEEL meer schade opleveren, niet alleen financieel maar ook kwa imago. Zoek voor de lol eens op DigiNotar en je zult begrijpen wat ik bedoel.
Overheden van andere landen zetten hun geheime diensten steeds vaker in voor dingen die niets met landsbelang te maken hebben; ze proberen bij bijvoorbeeld bedrijven en wetenschappelijke instellingen kennis te vergaren om hun eigen bedrijven en universiteiten te bevoordelen.
Dat heeft dus wel met het landsbelang te maken. Het heeft alleen niks met veiligheid te maken.
Dat is naar mijn mening een veel groter probleem (en risico) dan het antiterrorismebeleid (en -excuus) dat wordt gebruikt.

Ik heb al meermaals theorieŽn gehoord waarbij overheidsmonitoring gelijk staat aan bedrijfsspionage. M.a.w: de monitoring door de overheid is het legale argument om af te luisteren, maar bedrijfsgeheime informatie worden gebruikt om de binnenlandse industrie te ondersteunen.

Natuurlijk allemaal speculatie voor zover ik daar kennis van heb maar per definitie zeggen "het is overheid dus je hebt niets te vrezen" vind ik ook kort door de bocht.

Weinig burgers zullen moeite hebben met inleveren van privacy, als dit echt een 1-op-1-relatie heeft om de veiligheid te verbeteren. Dit is sowieso al een discutabel punt (Benjamin Franklin — 'Those who surrender freedom for security will not have, nor do they deserve, either one.') maar nog te verdedigen. Maar als deze garantie over de schutting gaat en het uiteindelijk neerkomt op ordinaire spionage en zelfverrijking begrijp ik heel goed dat de weerstand alleen maar toeneemt.

[Reactie gewijzigd door Eagle Creek op 23 april 2014 11:45]

dus als ik jouw bank rekening zou hacken heeft het niks met veiligheid te maken? of de trein regeling zou hacken en 20 treinen op elkaar laat inrijden? (oke beetje gejat van film maar mogelijk) tja die 20 treinen die op elkaar inrijden hebben niets met veiligheid te maken he
Het heeft niets met de veiligheid van de hacker te maken. (Uiteraard wordt wel de veiligheid van het slachtoffer geschonden.) Een hackende veiligheidsdienst die bedrijfsgeheimen steelt kan niet zeggen dat het direct te maken heeft met de bescherming van de veiligheid van het land.
Natuurlijk zullen ze zich eruit proberen te wringen door te zeggen dat kijken hoe stand van technologische ontwikkelingen in een ander land zijn en de stand van technologische ontwikkelingen in het eigen land op hetzelfde peil brengen indirect bijdraagt aan de bescherming van de veiligheid. Maar wat de bescherming van de veiligheid te maken heeft met bv. het onderscheppen van offertes van Airbus aan luchtvaartmaatschappijen zodat Boeing een scherpere aanbieding kan doen is mij niet helemaal duidelijk.
Wat ik me afvraag na het lezen van dit bericht: Hoe weet de AIVD dit? Wat hebben ze gedaan met deze informatie? Hebben ze de aanvallers aangepakt op wat voor manier dan ook? Hebben de de gehackte bedrijven ingelicht en/of geassisteerd met het mitigeren van de aanval? Ik vind dit een half nieuwsbericht.
Tweakers refereert naar het jaarverslag. Na het downloaden heb je binnen 5 seconden antwoord op je vraag:
"Onderzoek van gedetecteerde digitale aanvallen levert ons meer inzicht op in de daders, doelwitten, intenties en methoden. Dit inzicht wordt gedeeld met getroffen overheidsinstanties en bedrijven en ingezet ten behoeve van betere detectie en beveiliging. De AIVD bouwt dit aandachtsgebied verder uit."
(bron: AIVD jaarverslag 2013, p.20).

Lang leve de inhoudsopgave?
Geheime diensten melden ook niet als ze gehackt worden.
Geheime diensten melden ook vaaak niet als ze aan het hacken zijn. Ik bedoel, dit onderzoek is naar aanleiding van eigen ervaringen ? Als zij een bedrijf hacken dan komt er b.v. geen melding binnen van we zijn gehackt ? Want hoe anders kom je aan deze conclusie ?
Of komen ze tijdens hun "informatie speurtocht" tekenen of sporen van andere hacks tegen...
zou het wel grappig vinden als ze naar buiten brengen dat x % van hun gehackte targets dit niet naar buiten hebben gebracht :+
Ik heb juist respect voor bedrijven die adequaat reageren en transparantie geven na een hack.
Wanneer er uitkomt dat een bedrijf een hack verborgen heeft proberen te houden, ben ik snel weg, maar wanneer er snel en proactief achteraan gegaan wordt dat de gebruiker evt. wachtwoorden vernieuwd en het als lek fatsoenlijk wordt gedicht, dan is mijn vertrouwen nog in stand.
Maar jij bent een tweaker die snapt hoe dingen werken. Ik denk dat veel ouderen het niet snappen en het maar lastig vinden. Die hebben liever dat de site niet 'gehacked' was zodat ze niet verplicht hun wachtwoord moeten veranderen, opschrijven en bewaren. Vanuit die ouderen bekeken is er dan nog steeds imago schade.
Niet alleen ouderen. Bij de creditcard hack van Target in de USA, waren er ook talloze niet-ouderen die vooral klaagden dat hun creditcard geblokeerd was. Erg lastig want nu kon men niet shoppen ... |:(

Maar goed, gelukkig zijn er nog zat anderen die wťl niog iets verder kunnen kijken dan hun directe omgeving.
Ik begrijp die bedrijven wel hoor.
Stel er is ingebroken door een buitenlandse overheid (China, Usa, Duitsland, GB, vul maar in) en ze zijn gaan lopen met data

Optie 1: het naar buiten brengen en klacht indienen
- op justitievlak loop je tegen een muur
- zelfs al kan je bewijzen (kans is super klein) wie er achter zit vervolging zal er nooit zijn, een diplomatieke rel is zowat het enige maar dat is een kans van 1 op 10 000?
- je data is weg, wat er ook gebeurd, ze gaan niet zeggen, ah je hebt ons betrapt, we zullen alle data verwijderen
- klanten zijn in paniek en het levert gigantische imagoschade op inclusief nog wat juridisch gezever met mensen die geld willen zien omdat jij hun gegevens onvoldoende beschermd zou hebben.

Optie 2: je steekt het onder de mat
- gezien het een buitenlandse overheid is gaan zij het zelf niet naar buiten brengen
- geen gezever, geen imagoschade

Optie 2 is gewoon veel aantrekkelijker. Met optie 1 vergroot je enkel de schade aan je bedrijf met een nihil kans dat diegene die er voor verantwoordelijk is hier daadwerkelijk enige vorm van straf krijgt.
Je wilt als bedrijf niet echt aan de klok hangen dat je netwerk eventueel vatbaar is voor hacks.
Als je het niet meld, kan het ook niet goed worden opgelost - dan krijg je straks een veel groter schandaal, namelijk dat <insert willekeurige grote belangrijke bedrijven> ervan af wisten maar bewust geen actie hebben ondernomen maar probeerden kwetsbaarheid X in de doofpot te stoppen.

[Reactie gewijzigd door Xanaroth op 23 april 2014 11:52]

Je wil openheid geven en het probleem oplossen.
Dat is de aanpak die vertrouwen wekt, niet security by obscurity.
Logisch, de imagoschade bij zulke bedrijven is enorm groot!
Men noemt geen namen van bedrijven. Graag zou ik wel de namen van de betreffende landen genoemd zien. Dan weten we meten welke 'vriend' eigenlijk onze vijand is...

[Reactie gewijzigd door ManiacsHouse op 23 april 2014 12:55]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True