Overheid onthult richtlijnen voor hackers
De overheid heeft richtlijnen voor ethische hackers geopenbaard die op verantwoorde wijze lekken willen melden. Er is echter geen garantie dat hackers die zich aan deze regels houden niet vervolgd worden. Minister Opstelten van Veiligheid en Justitie beloofde de Kamer vorig jaar een richtlijn voor responsible disclosure. Het gaat dan om regels omtrent het vinden en rapporteren van lekken.
De nu gepresenteerde leidraad geldt niet alleen voor ethische hackers, maar ook voor bedrijven. Concreet betekent dit dat een organisatie publiekelijk het beleid voor responsible disclosure uitdraagt.
De organisatie en melder maken daarnaast afspraken over de termijn waarop de kwetsbaarheid verholpen zal zijn, de wijze waarop zij met elkaar zullen communiceren en over eventuele openbaarmaking en het verder inlichten van de ICT-security-community.
Lering
"Zo kunnen ook anderen lering kunnen trekken uit de kwetsbaarheid waar het om gaat. Als een organisatie eenmaal beleid heeft op dit gebied moet ook duidelijk zijn hoe zij met aangiftes omgaat en dat er geen aangifte wordt gedaan als de melder volgens afspraken heeft gehandeld."
Er zijn echter geen glasharde garanties dat een hacker niet vervolgd zal worden. Volgens de nu naar de Kamer gestuurde brief blijft de zelfstandige bevoegdheid van het Openbaar Ministerie bestaan om eventueel tot vervolging over te gaan wanneer het vermoeden bestaat dat er strafbare feiten zijn gepleegd.
Vrijbrief
Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid, laat weten dat het geen vrijbrief voor het hacken van andermans systemen is.
"Dit is geen vrijbrief om maar te doen wat je wilt, het is een kader waarmee je als bedrijf, als je het van tevoren kenbaar maakt, duidelijk maakt dat je geinteresseerd bent om te weten wat voor kwetsbaarheden je hebt en dat je die op verantwoorde wijze gemeld wilt zien en daar op een normale manier mee omgaat."
Regels
De leidraad omvat verschillende regels die tot het op verantwoorde wijze melden van beveiligingslekken moeten leiden. Hackers mogen de volgende maatregelen of activiteiten niet toepassen:
- Het hacken van systemen via social engineering.
- Het plaatsen van een backdoor in informatiesystemen.
- Het verder uitnutten van een kwetsbaarheid dan noodzakelijk om de kwetsbaarheid vast te stellen.
- Het kopieren, wijzigen of verwijderen van gegevens van het system te kopiëren.
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang te delen met anderen.
- Het via "bruteforce" verkrijgen van van toegang tot systemen.
Daarnaast is het aan beide partijen om te bepalen of de kwetsbaarheid openbaar wordt gemaakt. In het geval een kwetsbaarheid wordt gevonden, zou die volgens de leidraad binnen een bepaalde tijd moeten worden opgelost. Voor een softwarematige kwetsbaarheid wordt 60 dagen aangeraden, terwijl voor problemen in hardware 6 maanden wordt geadviseerd.
Wat ook mooi zou zijn is een soort internationale consensus over hoe je als organisatie je beleid kunt communiceren, zelf denk ik dan in de richting van een standaard benaamde webpagina onder het hoofddomein van de organisatie. bijvoorbeeld www.ziekenhuis.nl/disclosure.html.
Zaken die hier bijvoorbeeld op terug te vinden zouden moeten zijn is: wat staan de organisatie wel toe, wat staat de organisatie niet toe. wanneer wordt er wel of geen aangifte gedaan, waar kun je het gevonden lek melden en welke informatie verzoeken wij mee te sturen met de melding.
Zie het een beetje als de standaard emailadressen die gehanteerd worden, abuse, postmaster, webmaster etc.
Als organisatie kun je hier veel mee bereiken, standaard de ogen dichtdoen en roepen dat het niet mag is m.i. naief heden ten dage, het gebeurt toch. en het is af en toe verbazingwekkend waar hackers mee op de proppen komen als je ze in overleg even hun gang laat gaan.
Wat ook mooi zou zijn is een soort internationale consensus over hoe je als organisatie je beleid kunt communiceren, zelf denk ik dan in de richting van een standaard benaamde webpagina onder het hoofddomein van de organisatie.
En vervolgens sleept een patient zowel de hacker als het ziekenhuis voor het gerecht...
Er is door de overheid nu duidelijk omschreven wat wel en niet onder responsible disclosure valt en hoe alle partijen er via de overheid mee om kunnen gaan. Welke richtlijnen je ook bedenkt, het ontneemt niemand van rechten en kan ook niemand meer rechten geven. Het hele punt is dat het om verantwoordelijkheid draait en er in de praktijk meer aan de hand kan zijn dan iemand die via responsible disclosure wil verdoezelen.
En vervolgens sleept een patient zowel de hacker als het ziekenhuis voor het gerecht...
Er is door de overheid nu duidelijk omschreven wat wel en niet onder responsible disclosure valt en hoe alle partijen er via de overheid mee om kunnen gaan. Welke richtlijnen je ook bedenkt, het ontneemt niemand van rechten en kan ook niemand meer rechten geven. Het hele punt is dat het om verantwoordelijkheid draait en er in de praktijk meer aan de hand kan zijn dan iemand die via responsible disclosure wil verdoezelen.
zoals altijd, de letter van de wet laat ruimte voor interpretatie. in Nederland is elke overeenkomst ondergeschikt aan de wet.
Maar jij stelt voor dat we het erbij laten door te stellen dat Ivo de regels heeft bepaalt en het daarna allemaal wel goedkomt?
Als ik een burg bouw, die vervolgens instort door een constructie fout ben ik verantwoordelijk en dus de gebeten hond......
Als ik software bouw, die vervolgens lek blijkt te zijn door een constructie fout mag ik die fout morgen weer maken en is diegene die de fout ontdekt de gebeten hond..... een beetje de omgekeerde wereld.
Het uitgangspunt vind ik hier een beetje apart, want eigenlijk zegt dit. Dat een hacker slecht is als hij één van bovenstaande activiteiten uitvoert. Terwijl het maken van een melding aan autoriteiten toch een teken van goede wil is. Ik denk dat alles moet zijn toegestaan tenzij de hacker onredelijk misbruikt heeft gemaakt van toegang die hij gekregen heeft..... denk dan; misbruik van de gegevens, fraude, zelfverrijking, onderdeel maken van een botnet en illegale activiteiten uit laten voeren enz. enz.
Alsof crackers een systeem niet compromitteren wanneer zij één van bovenstaande activiteiten moet gaan uitvoeren ...... terwijl het doel toch juist is goed aardige hackers kwetsbaarheden te laten melden voordat crackers hier misbruik van gaan maken ....
Al gaat het tegen mijn ethisch gevoel is, maar wanneer ik een kwetsbaarheid zou ontdekken, denk ik dat ik wijs mijn mond houd en deze zelfs nog wel verkoop....... wanneer je hier melding van maakt weet je in elk geval zeker dat je meer risico loopt en wanneer je onethisch handelt en de informatie verkoopt houd je er zelfs een beloning aan over, en dit hoeft niet eens illegaal te zijn wanneer je dit aan bedrijven doet ......
Waarom heb ik toch weinig vertrouwen in de veiligheid van overheidsprojecten zoals het EPD?
"Waarom heb ik toch weinig vertrouwen in de veiligheid van overheidsprojecten zoals het EPD?"
---
Het EPD bestaat al jaren. Elke hulpverlenende instantie in de gezondheidszorg houdt, al of niet verplicht, tegenwoordig een digitaal patiëntendossier bij. Het EPD zoals nu is voorgesteld heeft twee belangrijke kenmerken t.o.v. eerdere en andere dossiers.
1) Het wordt in zijn geheel centraal toegankelijk gemaakt.
2) De ziektekostenverzekeraars spelen in de discussie omtrent het EPD een (wat mij betreft) verdachte rol. Zij willen dit dossier TE graag onder het mom van gemak voor hulpverleners en dus patiënten-voordeel.
Na 36 jaar werken in de gezondh. zorg kan ik alleen maar vaststellen dat veel bestaande dossiers gevoelig zijn voor misbruik, fouten en zelfs manipulatie. Een pennestreep kun je zien maar digitale wijzigingen is andere koek.
Voorheen was bijvoorbeeld een (papieren)artsen-status op één plek bereikbaar, nu in bijna de hele zorgketen.
Het is dus zonder EPD nu al zo, dat je medische status van de wieg tot het graf digitaal wordt opgetekend.
En men kan protesteren tot sint juttemis, HET EPD BESTAAT AL LANG. De meeste mensen weten het niet eens!
En dan te bedenken dat dit nog maar één categorie informatie betreft. Big Brother bestaat al sinds computers betaalbaar werden.
Ik neem aan dat je op deze zin doelt met "Beter lezen" het ontgaat mij even in welk opzicht dit in tegenspraak zou zijn met wat ik in mijn originele post heb geschreven.
Sterker nog, ik zie net dat de redactie ook nog een artikel heeft geplaatst welke mijn visie behoorlijk dicht nadert, het een sluit het ander niet uit natuurlijk.
Zoals gezegd, de wet laat ruimte voor interpretatie en dat is een gat wat de organisatie zelf moet vullen. een webpagina met de tekst "voel je vrij om te doen en laten wat je wilt en mail ons even een screenshot voordat je deze op pastebin plaatst" is natuurlijk niet mijn opzet.
een ziekenhuisorganisatie heeft veel raakvlakken met internet(werken) en ondanks de advisories allemaal netjes in de gaten te houden en noodzakelijke acties te ondernemen zijn er altijd ergens gaten te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
