image

Nederland gaat ethisch hacken bij andere landen promoten

woensdag 25 maart 2015, 13:39 door Redactie, 7 reacties

Volgende maand vindt er in Den Haag een grote internationale conferentie over cyberveiligheid plaats, waarbij Nederland andere landen op het belang van "ethisch hacken" zal wijzen. Dat liet Wilma van Dijk, plaatsvervangend Nationaal Coordinator Terrorisme en Veiligheid (NCTV) tijdens een rondetafelgesprek weten waar Security.NL bij aanwezig was.

Tijdens de Global Conference on Cyberspace, die in het World Forum in Den Haag zal plaatsvinden, zullen ministers, internationale organisaties, leiders uit de private sector en de internetgemeenschap, academici en burgerbelangengroepen met elkaar over een open en veilig internet vergaderen. De conferentie, waar zo'n 1500 bezoekers voor worden verwacht, zal zich vooral op het strategische niveau richten. "Nederland wil de dialoog met ander landen aangaan", aldus Van Dijk.

Praktisch

Toch zal Nederland ook praktische oplossingen aandragen, zoals het laten zien hoe landen een eigen cyber security center kunnen opzetten en wordt de "leidraad responsible disclosure" onder de aandacht gebracht. Via deze leidraad kunnen "ethische hackers" problemen in de websites van organisaties, bedrijven en overheidsinstanties op verantwoorde wijze melden. De getroffen organisatie krijgt dan de tijd om het probleem te verhelpen voordat de onderzoeker er bijvoorbeeld over publiceert.

Op het gebied van responsible disclosure is Nederland volgens Van Dijk koploper. De leidraad zou ook zeer succesvol zijn. "Daarmee hebben we een samenwerkingsverband tussen private bedrijven, overheid en ethische hackers om ervoor te zorgen dat kwetsbaarheden bij de Nationaal Cyber Security Center (NCSC) en het bedrijf zelf worden gemeld." Als bedrijven zeggen de leidraad te ondersteunen geven ze aan dat ze geen aangifte zullen doen, hoewel de wet niet uitsluit dat melders alsnog worden vervolgd.

"Hacken is strafbaar", merkte Van Dijk op, maar ze ziet in responsible disclosure juist een manier om tijdig lekken te vinden en te verhelpen. "Het is een uniek instrument en dat gaat dus niet alleen over denken, maar ook over doen." Nederland wil de leidraad daarom als praktische oplossing tijdens de conferentie aan andere landen laten zien. "Wij laten zien hoe responsible disclosure hier wordt toegepast, met de hoop dat andere landen dit gaan omarmen."

Privacy

Een ander onderwerp dat op de agenda staat is privacy. "Privacy op internet is het afgelopen jaar een zeer belangrijke discussie geweest", liet Wouter Jurgens, projectmanager Cyber Security van het ministerie van Buitenlandse Zaken, weten. "Wij hebben er dan ook voor gekozen om privacy nadrukkelijk op de agenda van de conferentie te zetten. Dat was voorheen niet zo." Privacy is volgens Jurgens breder dan wat de staat met gegevens doet.

Het gaat ook over hoe bedrijven met de privacy omgaan. "Daar zullen we vanuit het perspectief van de consument naar kijken. Er wordt gekeken wat privacy betekent en hoe het zich de komende jaren gaat ontwikkelen. De Nederlandse positie hierin is duidelijk, namelijk dat online rechten hetzelfde als offline rechten zouden moeten zijn." Hiervoor moet worden gekeken hoe zowel nationale als internationale wetgeving aan het digitale domein kan worden aangepast.

Nederland wil zich met de conferentie voor een open en vrij internet inzetten. Op hetzelfde moment van het rondetafelgesprek vond erin de Tweede Kamer een debat plaats over de bewaarplicht telecomgegevens. Daarnaast wordt Nederland regelmatig "tapkampioen" genoemd en ligt er een wetsvoorstel klaar waardoor de geheime diensten straks ook communicatie via de kabel ongericht mogen afluisteren.

"Als Nederland zeggen we niet dat het recht op privacy onbegrensd is. Er zijn bepaalde situaties mogelijk waar de overheid mag afwijken van het recht op privacy van het individu. Als er dat soort inbreuken worden gemaakt moeten die wel met sterke waarborgen omgeven zijn en moet de burger naar de rechter kunnen stappen om het besluit van de overheid aan te vechten. Ik denk dat we dat in Nederland juist goed geregeld hebben", aldus Jurgens. De Global Conference on Cyberspace vindt plaats op 16 en 17 april.

Reacties (7)
25-03-2015, 14:08 door Anoniem
Nederland, zeer zeker de alhier heersende ambtenarij, heeft nogal eens de neiging al te graag met het vingertje te willen wapperen, het braafste jongetje in de klas te willen zijn, "goed" te willen doen, het beter te willen weten, en zo het lichtend voorbeeld voor de rest van de wereld te willen zijn.

En als er bij "federaalpolitieke samenwerking" of "ontwikkelingshulp" de lol wel af is, nou, dan stomen we gewoon door naar het volgende idee.

Bijvoorbeeld "ethisch hacken", wat noch ethisch, noch hacken is. Sterker, het idee is kapotstukdefect en werkt niet, en de terminologie is reducerend en etsend. Je zet jezelf dus enorm op achterstand door deze inslag te kiezen en deze terminologie te omarmen. Daar zijn al duidelijke voorbeelden uit de praktijk voor aan te wijzen.

Maar dat maakt allemaal niet uit, want je kan er prima mee vingerwapperen, inhoud of niet! Dus stoom toch lekker door, stelletje nitwits. Zo kennen we Nederlandse oh-zo "progressieve" ambtenarij weer.
25-03-2015, 15:47 door Anoniem
Door Anoniem: Nederland, zeer zeker de alhier heersende ambtenarij, heeft nogal eens de neiging al te graag met het vingertje te willen wapperen, het braafste jongetje in de klas te willen zijn, "goed" te willen doen, het beter te willen weten, en zo het lichtend voorbeeld voor de rest van de wereld te willen zijn.

En als er bij "federaalpolitieke samenwerking" of "ontwikkelingshulp" de lol wel af is, nou, dan stomen we gewoon door naar het volgende idee.

Bijvoorbeeld "ethisch hacken", wat noch ethisch, noch hacken is. Sterker, het idee is kapotstukdefect en werkt niet, en de terminologie is reducerend en etsend. Je zet jezelf dus enorm op achterstand door deze inslag te kiezen en deze terminologie te omarmen. Daar zijn al duidelijke voorbeelden uit de praktijk voor aan te wijzen.

Maar dat maakt allemaal niet uit, want je kan er prima mee vingerwapperen, inhoud of niet! Dus stoom toch lekker door, stelletje nitwits. Zo kennen we Nederlandse oh-zo "progressieve" ambtenarij weer.

Wat een gelul. Er is geen enkel ander land ter wereld waar RD wordt gepromote of dat richtlijnen heeft opgesteld, vanuit de overheid, voor bedrijven zodat white-hats daadwerkelijk een melding kwijt kunnen. Wat Nederland heeft gedaan met haar RD richtlijnen is uniek en het werkt ook. Er zijn diverse voorbeelden beschikbaar waaruit blijkt dat wanneer een bedrijf or publieke partij, een RD policy heeft ingericht aan de hand van de leidraad, dit ten gunste komt van de beveiliging. En er zijn ook heel veel voorbeelden van hoe fout het kan gaan wanneer een dergelijke policy niet bestaat. Zoals white-hat hackers die bij de receptie van een bedrijf uitkomen met hun melding met als resultaat het bellen van de politie en het doen van aangifte terwijl de hacker alleen maar een kwetsbaarheid in een website wil melden. Het is gewoon een goed idee maar het valt natuurlijk zwaar om iets dat de overheid verzint als een goed idee te bestempelen, en al helemaal wanneer dit ICT zaken betreft. Wat dan op zich weer niet zo gek is, over het algemeen gaan ICT, goeie ideeen en overheid niet samen in 1 zin ;)
25-03-2015, 16:33 door Anoniem
Door Anoniem: Wat een gelul.
Als dat je enige argument is, dan ben je snel klaar natuurlijk.

Zoals white-hat hackers die bij de receptie van een bedrijf uitkomen met hun melding met als resultaat het bellen van de politie en het doen van aangifte terwijl de hacker alleen maar een kwetsbaarheid in een website wil melden.
Zo'n mannetje is om te beginnen geen "hacker", maar een "script kiddie", om de eenvoudige reden dat zulke mensen, ongeacht de hoedkleur, al jaren nauwlijks echt nieuwe dingen hebben weten te presteren, maar wel grossieren in het herhalen van oude concepten. Door toch deze term breed te gebruiken, is hij ondertussen verwaterd tot iets wat geen inhoud meer heeft. Wil je dus serieus wat verbeteren hier, dan moet je niet met zulke verwarrende termen gaan smijten.

Dat de verwarring zodanig heerst dat de bezigers zelf ook niet eens meer weten wat ze nou precies te melden hebben kun je zien aan de opkomst van toevoegingen als "ethisch" en het gehannes met hoedjes.

Het is zelfs zo erg dat als je jezelf "hacker" noemt dat je dan in de VS je vierde amendementsrechten verspeelt. Poef, grondrecht weg. Hoe kan dat?

Over de invloed van geclaimde ethischiteit en notionele hoedkleur bestaat nog geen jurisprudentie. Lijkt me ook niet nuttig om dit toch reeds gapende gat nog dieper uit te graven.

En dat was het punt: Deze inslag en deze terminologie vasthouden is niet productief.


Dat is wellicht beter te zien als je bedenkt wat zo'n drager van een echte mooie witte hoed, heus waar, nou eigenlijk doet, cq. hoe dat er vanuit het bedrijf uitziet: "HA HA! Julllie software is stuk! HA HA! Ik heb er een gat in gevonden! HA HA! Ik ben lekker goed bezig! HA HA! En jullie lekker niet! HA HA! En nu moeten jullie mij bedanken! HA HA HA HA!"

Natuurlijk is dit wat overtrokken, maar het sentiment is duidelijk: Je draait een bedrijf en je investeert grote brokken capitaal in het bouwen en onderhouden van al je software en dan komt er zo'n opgeschoten pukkelhoofd jou even ongevraagd vertellen dat je allerlei dingen helemaal verkeerd doet?

Dat is best lastig te verteren, of je dat nou met allerlei "responsible disclosure"-regels aankleedt of niet.

Maargoed, de industrie zelf zit nog helemaal vast in hun eigen mythes die ze vervolgens zelf ook niet kunnen waarmaken, dus de andere kant van het verhaal laten zien zal vooral op onbegrip stuiten.

Het is gewoon een goed idee maar het valt natuurlijk zwaar om iets dat de overheid verzint als een goed idee te bestempelen, en al helemaal wanneer dit ICT zaken betreft. Wat dan op zich weer niet zo gek is, over het algemeen gaan ICT, goeie ideeen en overheid niet samen in 1 zin ;)
Als ze met een echt goed idee komen dan zeg ik heel voorzichtig dat het er uitziet als een goed idee (hoor je niet vaak want er zijn maar heel weinig goede ideen daar, minder nog dan in de security industrie en dat zegt wat, maar ik zeg dat niet nooit, zeker niet) maar dat ik ook wil zien dat de uitvoering goed gebeurt, want anders hebben we er nog niets aan.

De reden daarvoor hoort evident te zijn, maar als niet:

Een commercieel bedrijf in een vrije markt (en dus geen effectief monopolie) kan vanalles proberen en als het niet lukt dan proberen ze maar wat anders of gaan ze wel failliet en wellicht dat er iemand anders opstaat om dezelfde markt te bedienen met een ander idee.

Wat niet wil zeggen dat er niet vele ideen zijn die niet werken maar, omdat de markt zelf zo onvolwassen is en de klanten dus geen idee hebben waar ze nou eigenlijk voor betalen, dat er dan niet grof geld aan zulke onzin te verdienen is. Dat is er wel, en dat is duidelijk te zien in de security industrie.

Een overheid heeft van nature een monopoliepositie en enorm veel macht om niet-functionerende ideen toch tegen de klippen op in de lucht te houden. Daar is het dus veel belangrijker om niet alleen met goede ideen te komen maar ze ook goed uit te voeren.

We zitten in een fase waar er allerlei verdigitaliseringssaus over de samenleving wordt uitgegoten en als je daar serieus voortgang wil maken moet je beter je best doen dan een hele cottage industrie die al twintig jaar nauwlijks vooruitgang heeft geboekt na te praten.

Dat laaste is precies wat er gebeurt. En daar wat van zeggen is volgens jou "gelul". Goh, waarom verbaast me die reactie nou niet?
25-03-2015, 21:43 door Anoniem
Het is zelfs zo erg dat als je jezelf "hacker" noemt dat je dan in de VS je vierde amendementsrechten verspeelt. Poef, grondrecht weg. Hoe kan dat?
Hier zie ik graag bewijs van. Maar los daarvan: in NL gaat het juridisch niet om de term. De term is de verpakking, het gaat om het kijken naar de inhoud. Wat zijn iemands intenties, heeft iemand eerst een paar TB gedownload en daarna een poging gedaan zich achter responsible disclosure te verschuilen.

Over de invloed van geclaimde ethischiteit en notionele hoedkleur bestaat nog geen jurisprudentie. Lijkt me ook niet nuttig om dit toch reeds gapende gat nog dieper uit te graven.
Jurisprudentie is er wel degelijk. Neem de persoon die een het had voorzien op het Groene Hart Ziekenhuis maar te ver was gegaan door oa een backdoor te plaatsen. Zie de zaak tegen Henk Krol, waarbij hij verder dan nodig wat gegaan om een kwetsbaarheid aan te tonen.

Vervolging staat los van het wederrechtelijk binnendringen van een systeem of het mogelijk aantonen van een beveiligingslek. Waar de een het voor lief neemt dat zijn fiets gestolen kan worden, verwacht de ander dat politie en OM tot opsporing overgaan als hij een fiets niet meer heeft die hij niet op slot had gezet. Voor geautomatiseerde systemen gaat hetzelfde op. De ene eigenaar heeft een responsible disclosure beleid, de ander weegt per gebruik af wat ze er van vinden en de ander kan het geen barst schelen wat een gebruiker met zijn systeem doet. Wat ethisch is is voor ieder verschillend, maar de wet is behoorlijk helder: wederrechtelijk toegang verschaffen tot een geautomatiseerd systeem is strafbaar. Of er vervolging en een straf volgt hangt van veel factoren af.

Lezen we ergens dat de overheid promoot om de wet te overtreden? Nergens. De woorden ethisch en responsible zijn wel de minste woorden die aangeven waar het om gaat: dat de eigenaren van de systemen en de gebruikers er gezamenlijk uitkomen. Zonder schade erger voorkomen. Geen systeem is 100% veilig te noemen. Heb je dan liever dat iemand die verantwoord bezig wil zijn risico neemt om het in goed overleg te laten verhelpen, of dat iemand met vergaande criminele intenties misbruik maakt van de situatie? Want hoe je het ook draait, een crimineel hou je niet tegen met enkel wetgeving.
26-03-2015, 09:20 door Anoniem
Zo'n mannetje is om te beginnen geen "hacker", maar een "script kiddie", om de eenvoudige reden dat zulke mensen, ongeacht de hoedkleur, al jaren nauwlijks echt nieuwe dingen hebben weten te presteren, maar wel grossieren in het herhalen van oude concepten.

Zolang script kiddies met hun jaren oude exploits nog overal binnen kunnen komen is het met de beveiliging slecht gesteld. Ik zou zelfs zeggen: Als iemand met Metasploit van vorig jaar naar binnen komt is je systeem ONDERMAATS beveiligd.

Misschien een goed idee om dat als basis voor beveiliging te nemen.
26-03-2015, 10:11 door Anoniem
Door Anoniem:
Het is zelfs zo erg dat als je jezelf "hacker" noemt dat je dan in de VS je vierde amendementsrechten verspeelt. Poef, grondrecht weg. Hoe kan dat?
Hier zie ik graag bewijs van.
Och kom. Dat is ruim uitgemeten en ook hier herhaaldelijk aangehaald. Bijvoorbeeld:

http://www.digitalbond.com/blog/2013/10/22/call-yourself-a-hacker-lose-your-4th-amendment-rights/

Maar los daarvan: in NL gaat het juridisch niet om de term. De term is de verpakking, het gaat om het kijken naar de inhoud.
Dit is evident onwaar, aangezien er duidelijke signalen uit de samenleving gekomen zijn dat de gebruikte terminologie onwelgevallig was. Die signalen zijn helemaal niet opgepakt maar er werd een beetje slap omheengeluld en de overheid stoomde doorrrrr. Zo ook hier.

En dat is best een hele domme en kortzichtige ontwikkeling gezien de voorheen gebruikte juridische termen een stuk duidelijker waren. Een onmiskenbare verslechtering en slechtdoordachte poging tot popularisatie die vervolgens hard op de bek ging. Niet handig. En zo kan ik nog wel even doorgaan.

Over de invloed van geclaimde ethischiteit en notionele hoedkleur bestaat nog geen jurisprudentie. Lijkt me ook niet nuttig om dit toch reeds gapende gat nog dieper uit te graven.
Jurisprudentie is er wel degelijk. Neem de persoon die een het had voorzien op het Groene Hart Ziekenhuis maar te ver was gegaan door oa een backdoor te plaatsen. Zie de zaak tegen Henk Krol, waarbij hij verder dan nodig wat gegaan om een kwetsbaarheid aan te tonen.
Die laatste was ook contentieus alhier, dit terzijde. Maar je mist het punt, en als het waar is wat je zelf zegt, dat het om de inhoud gaat, dan maakt het jou dus niet uit welke term er gebruikt wordt.

Dus als ik zeg, luister, het heeft niet zoveel zin om zowel schadelijke misbruikers als zogenaamde "onderzoekers" als onschuldige knutselaars (die wellicht nooit in de buurt komen van het hele security gedoe) met dezelfde term over een kam te scheren, dan is het heel raar als je willens en wetens aan zo'n overbrede expres vaaggemaakte term blijft schermen.

Dus zeg ik, gebruik "kraker" (engels, "cracker") al dan niet met "cyber" of "computer" ervoor, zo je wil, voor precies dat gedeelte waar het specifiek over "kraken" van de beveiliging gaat. Zo je wil in analogie van kluizen kraken. Daar kan jij volgens jou argument geen bezwaar meer tegen hebben, en het maakt zowel de onschuldige creatievelingen als de mensen die graag heldere termen horen blij.

Korte definitie, geen contentie, helderheid. Kraker. Allemaal dingen die je met "hacker" niet krijgt.

Wat ethisch is is voor ieder verschillend, maar de wet is behoorlijk helder: wederrechtelijk toegang verschaffen tot een geautomatiseerd systeem is strafbaar. Of er vervolging en een straf volgt hangt van veel factoren af.
Dat eerste is een rare tegenwerping gezien de context. Dat laatste is in de Nederlandse wet vooralsnog zonder vage sensatiewoorden omschreven. In de VS wel, daar is "computer hacking" strafbaar gesteld zonder te vertellen wat dat nou precies is. Daarmee past die wet in een groeiend lijstje overbrede wetten die te pas en te onpas worden ingezet om de kans op veroordeling maar zo groot mogelijk te maken. Want het "produceren" van zoveel mogelijk veroordelingen is een doel op zich geworden daar. Lijkt me dat we die kant hier niet ook op moeten willen. Dat verhinderen, daar is heldere termen bezigen onderdeel van.

Lezen we ergens dat de overheid promoot om de wet te overtreden? Nergens.
Haha dat dacht jij maar. Notabene de ICT-afdeling van de rechspraak(!) heeft een afdeling in dienst die zich precies met dit "ethische hacken" bezighoudt, wat ze zelf duidelijk nogal spannend vinden. Zag je laatst heel mooi in een advertentie voor een (goedbetaalde) baan om dat zooitje ongeregeld te leiden.

De woorden ethisch en responsible zijn wel de minste woorden die aangeven waar het om gaat:[...]
Jammer joh, maar dat heb je net zelf onderuitgehaald door te stellen dat dit per persoon verschilt. Dat is dus een recept voor gegarandeerd eindeloos kibbelen. Als je dus kibbelen wil dan zit je hiermee op de goede weg. Wat weer mooi inhaakt op het eerste commentaar alhier.

Geen systeem is 100% veilig te noemen.
Het kan wel veel beter dan we nu hebben, bijvoorbeeld door te zorgen dat de fundering niet zoveel moeras is. Zoals het meest gangbare systeem dat wel is. Er zijn betere (meerdere, en ik bedoel dan niet meerdere variaties op die ene grote runner-up) en het zou goed zijn als er meer mensen meer verschillende systemen gebruikten want dan geraken we van de huidige monocultuur af, die een risico op zichzelf vormt.

Heb je dan liever dat iemand die verantwoord bezig wil zijn risico neemt om het in goed overleg te laten verhelpen, of dat iemand met vergaande criminele intenties misbruik maakt van de situatie? Want hoe je het ook draait, een crimineel hou je niet tegen met enkel wetgeving.
Het probleem is alleen dat de huidige aanpak je niet toestaat uit het gekrakeel uit te maken wie nou wat is. Dat is precies waarom deze terminologie en deze inslag deel uitmaken van een dog-and-pony show waar we uiteindelijk niets mee opschieten. Het lijkt heel aardig zolang je maar niet beter weet. Maar als je dat wel weet dan is het pijnlijk duidelijk dat zelfs koning eenoog hier beter had kunnen doen door beter op te letten en even echt na te denken.
26-03-2015, 10:50 door Anoniem
Door Anoniem:
Zoals white-hat hackers die bij de receptie van een bedrijf uitkomen met hun melding met als resultaat het bellen van de politie en het doen van aangifte terwijl de hacker alleen maar een kwetsbaarheid in een website wil melden.
Zo'n mannetje is om te beginnen geen "hacker", maar een "script kiddie", om de eenvoudige reden dat zulke mensen, ongeacht de hoedkleur, al jaren nauwlijks echt nieuwe dingen hebben weten te presteren, maar wel grossieren in het herhalen van oude concepten. Door toch deze term breed te gebruiken, is hij ondertussen verwaterd tot iets wat geen inhoud meer heeft. Wil je dus serieus wat verbeteren hier, dan moet je niet met zulke verwarrende termen gaan smijten.

Ik weet niet wat voor een meldingen jij krijgt, maar de meldingen die ik bij ons binnen heb zien komen sinds we begin vorig jaar een beleid hebben opgesteld, ontstijgen het niveau van alle scriptkiddies die ik ken. Soms zijn het zelfs methoden en werkwijzen waarbij de leverancier van de software forse problemen heeft om het zelf te reproduceren. Zelfs met ondersteuning van de melder.

Ja, natuurlijk zitten er bij de meldingen ook zaken als telnet op een niet-standaard poort.

Het is zelfs zo erg dat als je jezelf "hacker" noemt dat je dan in de VS je vierde amendementsrechten verspeelt. Poef, grondrecht weg. Hoe kan dat?

Omdat de overheid van de VS gek is?

Terwijl toch veel Amerikaanse bedrijven inzetten op responsible disclosure.

Over de invloed van geclaimde ethischiteit en notionele hoedkleur bestaat nog geen jurisprudentie. Lijkt me ook niet nuttig om dit toch reeds gapende gat nog dieper uit te graven.

Dit is er wel. Zoals die politicus die aan het hacken was waarbij de rechter heeft gesteld dat hij te veel informatie heeft verzameld. Een enkele document was genoeg geweest om het gat aan te tonen. Meerdere complete dossiers is te veel.

Dat is wellicht beter te zien als je bedenkt wat zo'n drager van een echte mooie witte hoed, heus waar, nou eigenlijk doet, cq. hoe dat er vanuit het bedrijf uitziet: "HA HA! Julllie software is stuk! HA HA! Ik heb er een gat in gevonden! HA HA! Ik ben lekker goed bezig! HA HA! En jullie lekker niet! HA HA! En nu moeten jullie mij bedanken! HA HA HA HA!"

Ik vind het echt jammer dat jullie bedrijf dat soort meldingen krijgt.

Natuurlijk is dit wat overtrokken, maar het sentiment is duidelijk: Je draait een bedrijf en je investeert grote brokken capitaal in het bouwen en onderhouden van al je software en dan komt er zo'n opgeschoten pukkelhoofd jou even ongevraagd vertellen dat je allerlei dingen helemaal verkeerd doet?

Als zo'n pukkelhoofd, volgens jouw bewering een scriptkiddie, met een melding komt, had je dat als bedrijf zeker ook moeten vinden. Scriptskiddies gebruiken toch alleen maar scripts die anderen hebben geschreven. Waarom gebruikt dat bedrijf die dan niet ook. Als je het kapitaal niet overhebt voor grondige testen, dan hoef ik die software niet.

Wij hebben in ieder geval bij de aanbestedingen van software aangegeven dat we uitgebreide pentesten mogen uitvoeren en dat de uitkomst daarvan, en de snelheid van oplossen van gevonden fouten, meetellen in de keuze van de leverancier van het product.

Dat is best lastig te verteren, of je dat nou met allerlei "responsible disclosure"-regels aankleedt of niet.

Ook autofabrikanten vonden NCAP in het begin lastig te verteren. Tegenwoordig adverteren ze er mee.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.