image

''Richtlijn voor ethische hackers is groot risico'

vrijdag 4 januari 2013, 10:33 door Redactie, 12 reacties

De richtlijn van minister Opstelten voor ethische hackers die beveiligingsproblemen willen rapporteren neemt grote risico's met zich mee. Het is hierdoor niet meer duidelijk wat wel en wat niet strafbaar is, aldus Hoffmann Bedrijfsrecherche. "Het voorstel van de Minister geeft een goede impuls aan de discussie, maar wij zien tegelijkertijd een aantal bedreigingen", aldus het recherchebureau.

Zo zijn ethische hackers volgens Hoffmann niet aangesloten bij een branchevereniging, hebben ze geen diploma’s waaruit hun kundigheid kan blijken en opereren ze vaak zelfs anoniem. "Aansprakelijkheidstelling bij onbedoelde schade is daardoor praktisch niet mogelijk."

Computervredebreuk
Het voorstel lijkt nu mogelijkheden te geven om het delict computervredebreuk te omzeilen, laat het recherchebureau weten. "De wet is momenteel juist duidelijk en beschermt de infrastructuur van bedrijven. De voorgestelde aanpassingen lijken excuses bieden aan hackers waarvan op voorhand de goede intenties niet duidelijk zijn."

Volgens Hoffmann zijn richtlijnen om ongestraft ‘digitale sloten’ op de proef te stellen dan ook niet nodig. "Dit zullen organisaties niet op prijs stellen en zal vooral veel onduidelijkheid creëren. Met alle gevolgen van dien."

Reacties (12)
04-01-2013, 10:37 door Anoniem
"Wij van Hoffmann Bedrijfsrecherche adviseren Hoffmann Bedrijfsrecherche". Nou, ik niet !
04-01-2013, 10:38 door Anoniem
Ik ben het met hun eens.
Dit is geen oplossing.
De oplossing is;
De mensen die ernstige fouten maken, zoals envoudige SQL injecties, of nalatig zijn laten boeten en een beroepsverbod opleggen.

Zo simpel is het!!


Pak de schuldige aan!!!! Die over de rug van andere miljoenen hebben verdient!!!!!
04-01-2013, 11:12 door Preddie
"Zo zijn ethische hackers volgens Hoffmann niet aangesloten bij een branchevereniging, hebben ze geen diploma’s waaruit hun kundigheid kan blijken en opereren ze vaak zelfs anoniem. "Aansprakelijkheidstelling bij onbedoelde schade is daardoor praktisch niet mogelijk."

Sorry maar ik had hofman toch wel hoger in geschat. Er is dan wel geen branchverreniging, maar tegenwoordig zijn er al heel wat opleidingen die aandacht besteden aan security en kundigheid kunnen laten blijken. Daarnaast heb je natuurlijk tal van losse certificaten zoals een CEH bijv.. Hackers die in opdracht van bedrijven werken, die werken vrijwel nooit anoniem... ik vraag me dan ook af waar ze dit vandaag halen.... De hackers die nu anoniem blijven zijn bang voor narigheid met o.a. justitie en die is het laatste wat je wil, en dan kun je maar beter op "safe" spelen en anoniem proberen te blijven...

Ik had een best wel hoge pet op van Hoffman, maar die is na het lezen van dit bericht een beetje verdwenen. Zij impliceren namelijk dat je alleen kundig bent met de juiste papiertjes .... Sorry, maar een tiener mijn servers zou hacken, ga ik niet vragen om zijn diploma maar hoe ik de kwetsbaarheid kan dichten. (if you can't beat them, join them!)

Volgens Hoffmann zijn richtlijnen om ongestraft ‘digitale sloten’ op de proef te stellen dan ook niet nodig. "Dit zullen organisaties niet op prijs stellen en zal vooral veel onduidelijkheid creëren. Met alle gevolgen van dien."

Ik krijg het gevoel dat hoffman totaal geen affiniteit heeft met IT-security als je ziet hoe zij tegen bepaalde zaken aan kijken. Afgelopen jaar zijn de gegevens van heel Nederland in getallen meerdere malen gelekt, en dan praten we alleen over de gevallen die bij de media bekent zijn, men ziet dat er eigenlijk geen enkel systeem veilig is en dat we baat hebben bij verbeteringen in de beveiliging. Volgens hoffman is deze behoefte er schijnbaar niet... ik zou zeggen doe je probeer eens te kijken zonder oogkleppene en zie de realiteit, iedereen die een bijdrage kan leveren aan het veiliger maken van onze digitale samenleving is welkom. Wanneer hackers informatie op online plaatsen of de media opzoeken dan is dat vaak een schreeuw om aandacht, als men de intentie zou hebben om de informatie van of hack te misbruiken dan zal deze persoon zeer waarschijnlijk niet de media opzoeken. Maargoed eerlijk is eerlijk, als alles veilig zou zijn heeft hoffman geen werk meer, zij hebben dus belang met een dergelijke uitspraak.
04-01-2013, 12:59 door Anoniem
Laten we dan maar hier en nu een branchevereniging beginnen, toch? Ik verdien wel een deel van mijn brood met pentesten en als daarbij af en toe (vaak) een partner van mijn opdrachtgever ipv de opdrachtgever zelf de oorzaak van een kwetsbaarheid is moet ik daar gewoon ook op kunnen testen...en rapporteren. En niet op worden aangesproken. Bovendien is voldoende scholing weldegelijk aanwezig, al geef ik toe dat de beste white hat hackers(!) die scholing meestal niet hebben. (ze missen of ontberen het niet, hoor!)
04-01-2013, 13:19 door Anoniem
Vergelijk het met je huis of auto, zolang iemand inbreekt met de intentie om te laten zien hoe slecht het is gesteld met de veiligheid van de sloten, krijgt deze een vrijbrief om aan al je spullen te mogen zitten?

Iedere inbreker die gepakt wordt zal claimen dat hij het voor de mensheid doet.
04-01-2013, 15:40 door Anoniem
Er is helemaal geen sprake van een onvoorwaardelijke vrijbrief; dus die vergelijkingen gaan helemaal niet op mensen ...
04-01-2013, 16:01 door Anoniem
Als ik ga pinnen trek ik ook even aan de passleuf om te kijken of er niet een skim device op zit, als ik een auto koop schop ik ook tegen de band aan, als ik een pakje ham koop in de supermarkt kijk ik ook op de tht datum.
Dus waarom mag je niet kijken of de server waar je je gegevens op gaat zetten veilig is?

Simpelweg moet je iets niet aan internet hangen als je niet wil dat het op straat ligt.
Er zijn genoeg manieren voor een prive-netwerk als je veilig een VPN wil opzetten zonder internet.
04-01-2013, 16:06 door Anoniem
"Hackers die in opdracht van bedrijven werken, die werken vrijwel nooit anoniem...."

Deze richtlijnen hebben betrekking op hackers die ongevraagd en dus niet in opdracht werken. En die zijn dikwijls wel degelijk anoniem.
04-01-2013, 18:49 door Anoniem
Door Anoniem: Ik ben het met hun eens.
Dit is geen oplossing....
Dit gaat niet om DE oplossing, het is een hulpmiddel en DE oplossing niet bestaat. Je kan nog zoveel regeltjes bedenken, het valt nooit uit te voeren naar de wens van ieder omdat juist ieder anders is. Het zijn richtlijnen - om helderheid te scheppen hoe de overheid nu kan helpen en weten waar je wel en niet aan toe bent als je er in mee wil gaan. Als je dit gaat vergelijken met oplossingen of wetgeving dan sla je de plank flink mis. Daarbij, je hoeft je niet aan de richtlijnen te houden, maar wel aan de wetgeving. En die is behoorlijk streng, alleen vertikt 99,99999% van de bevolking het om (wets)personen die hun rechten aan hun laars lappen juridisch ter verantwoording te roepen. Als we dat al niet doen dan ben ik heel blij dat de overheid tenminste helderheid geeft hoe personen die legaal iets aan de kaak wensen te stellen het ethisch kunnen afhandelen. Ik zou willen dat personen eens wat meer eigen verantwoordelijkheid namen in plaats van de vuile was iedere keer bij de overheid te hangen. De overheid ben jezelf: je kiest je volksvertegenwoordigers, je roept ze ter verantwoording. Ik zie het weinig gebeuren.
04-01-2013, 19:40 door Preddie
Door Anoniem: "Hackers die in opdracht van bedrijven werken, die werken vrijwel nooit anoniem...."

Deze richtlijnen hebben betrekking op hackers die ongevraagd en dus niet in opdracht werken. En die zijn dikwijls wel degelijk anoniem.

Daar heb je helemaal gelijk in, en dat heeft natuurlijk deels met de wetgeving en de potentieele consequenties te maken.

Wanneer men de media opzoekt lijkt me dat toch ook een signaal om uit de anonimiteit te komen, ondanks dat je dan mogelijk middels een tussen persoon met de andere partij probeert te praten neem je daarmee meer risico omdat men in de meeste gevallen vaak een onderzoek instelt. Iets wat mogelijk niet gebeurt was wanneer niet je de media niet had opgezocht.

Hoe je er ook tegen aan kijkt, het blijft een complexe discussie. Misschien dat vraag daarom ook iets meer moet zijn: Of je de wet zou mogen overtreden om daarmee een potentieele grotere overtreding te voorkomen?
07-01-2013, 11:33 door Anoniem
Deze richtlijn is bedoeld voor bedrijven, niet voor hackers...
08-01-2013, 13:14 door PJW9779
Lariekoek van Hoffmann. Juridisch zijn er al geen issues, daarnaast werkt de hacker-wereld toch écht iets anders dan Hoffmann en Opstelten denken. 'Welcome to The Matrix!'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.