Het beleid zou moeten stellen dat systemen fatsoenlijk beveiligd moeten zijn, en dat een fooi van 300 euro voor het opsporen van andermans nalatige fouten overbodig zou moeten zijn.

Tja, een niet gemeld datalek kost straks een veelvoud dus die fooi van 300 is maar schamel. Verder moet je als onderzoeker niet het lek onderzoeken door het te gebruiken want dan zou je die 300 euro zomaar in de lik ten gelde moeten gaan maken, voor zover deze dan überhaupt wordt uitgekeerd. Kortom, leuk en goed initiatief van de gemeente Apeldoorn maar laten we eerst maar eens afwachten of het OM hier wel in mee gaat. Die kan zonder aangifte namelijk ook gewoon een zaak overnemen en de klokkenluider alsnog vervolgen.

'Doe mee en Win!'

Hoe vrij en vriendelijk is een uitnodiging met vooraf 'zwaar geschut' op je gericht?

Dreigen
"Rot maar op met je uitnodiging als je denkt dat het met vooraf dreigen moet. Spelregels opstellen prima, vooraf al gaan dreigen, bekijk het maar."
Zou zomaar een gedachte kunnen zijn hier en daar.

Kennelijk denkt men aan, richt men zich bij responsible disclosure policies op totale idioten waarvan het maar helemaal de vraag is of dat beeld aansluit bij de meer intelligente doelgroep die men probeert te bereiken.

Kunnen : eenvoudig ‘dankjewel’
Grote kans dat geïnteresseerden zich op voorhand niet melden, omdat ze er niets voor voelen onder het beding van dreiging en een verwaarloosbare vergoeding met hele vage voorwaarden zich te laten paaien.
Waarom staat dankjewel eigenlijk tussen aanhalingstekens?

Algemene sociale regel
Als je iets van een ander gedaan wil krijgen, ook nog voor een eventuele habbekrats, zul je om te beginnen, je zeer vriendelijk dienen op te stellen!

Selectief specifiek
Ben je uitermate specifiek in de omschrijving van je dreigingen en wensenpakket?
Wees dat dan ook in de wijze van je beloningssysteem.
Het accentverschil, de disbalans daarin zegt al genoeg, vooral oog voor het eigenbelang.

Overbodige dreigingen
Hacken is in algemene zin toch al ongeoorloofd, wettelijk vrijwel niet toegestaan, dus de dreiging van juridische stappen bij een ruimere hack aanpak dan de uitnodiging behelst is dus volstrekt overbodig.
Bij lezing van de uitnodiging met vele voorwaarden blijft toch vooral de dreiging hangen.

Allemaal een beetje dom!
Apeldoorn is niet de enige die zich op deze zogenaamde responsible disclosure manier vooral in de eigen voeten schiet.
Heel stom, je trekt er minder belangstelling mee en het is feitelijk toch vooral ook negatieve pr voor de eigen organisatie. Vooral de angst, onzekerheid en achterdocht schijnt er volop doorheen.

Eenoog ziet dat het werkt (kuch)
Dit weinig realistische responsible disclosure systeem blijft overeind omdat men het gebrek aan feedback van testers en hackers niet zal opvatten als een essentieel gebrek in de eigen opstelling.
Wat men niet weet of merkt of ziet is immers geen probleem al had men redelijkerwijs wel vooraf kunnen bedenken dat dit uitnodigingen zijn van een sociaal achterlijke soort.

Leftovers voor instappers
Als werkelijk serieuze geïnteresseerde tester denk je wel drie keer na om op voorwaarden van waarschijnlijk geen vergoeding en mogelijke vervolging via een andere achterdeur deel te nemen.
Reken er in ieder geval maar op dat je naam definitief op meer lijstjes zal belanden dan je lief is.

Wat is het je waard en wat schiet je er zelf nou eigenlijk mee op?

Het is nog veel minder dan een armzalige fooi.

In Nederland betaal je er namelijk ook nog eens heel veel belasting over.
Net als "vakantiegeld" is dit namelijk een z.g. "Bijzondere Beloning" en deze wordt dus extra belast.

Experts moeten het maar eens precies berekenen, maar ik denk
dat je hier ongeveer 168 euro van over gaat houden.

Zijn we nu echt aan het klagen over het feit dat een gemeente uit eigen beweging een responsible disclosure beleid heeft opgetuigd?

Ik begrijp dat de vergoeding niet bijzonder hoog is, maar het is beter dan vervolgd worden en niks krijgen.

Ben ik ook de enige die het 'we gaan je niet vervolgen' blurbje met een positieve toon leest á la "In principe is computervredebreuk strafbaar, maar bij ons mag het toch! Je hoeft je alleen aan de volgende regels te houden". Het biedt jou de garantie dat je niet vervolgd gaat worden.

Een lek bij de overheid kan écht niet en alles is dan per direct ruk. Een overheidsorgaan dat uit eigen beweiging via deze manier (samen) een veiligere overheid wilt creëren, kan zo te lezen aan de reacties óók al niet. Wat willen we nu? Als hogere bonussen worden uitgedeeld zijn er vast mensen die dit zonde van het belastinggeld vinden?

Ik lees hier wel een hoop kritiek maar geen suggesties over hoe het dan wel zou moeten? Deze gemeente biedt een zekere mate van bescherming voor mensen die bereid zijn de overheid te helpen bij het opsporen van beveiligingslekken.
Dat hierbij voorwaarden gesteld worden is logisch. Als ze dat niet zouden doen en iemand breekt in en legt de systemen plat of zet de hele administratie op internet dan zou diegene zich met succes kunnen beroepen op toestemming van de gemeente.
Suggesties voor verbeteringen dragen meer bij aan een veiliger digitale samenleving dan klakkeloos alle overheidsinitiatieven de grond in boren. (hoewel ik moet toegeven dat het in veel gevallen wel terecht is)

Groet,
een ex ambtenaar.

Dan doen ze het in Eindhoven beter, daar nodigen ze hackers uit op een hackers-dag, dan hebben ze alles in de gaten.
Voor zover ik weet, hebben ze dan ook toegang tot een back-up systeem, zodat ze niet de originele servers hacken.

Je moet absoluut niet denken dat zo'n disclosure regeling je gaat beschermen tegen de overheid. De gemeente mag dan wel blij zijn met je hulp, het OM kan nog altijd (in bepaalde gevallen) een onderzoek starten bijvoorbeeld in zake computervredebreuk.

Die mededeling vereist toch wel enige toelichting. Door de disclosure-regeling kan weliswaar nog wel technisch aan een delictsomschrijving worden voldaan, maar het is wel de vraag of er sprake is van wederrechtelijk gedrag omdat binnen de grenzen van de regeling toestemming werd verleend. Als de grenzen van die toestemming niet worden overschreden, wat is dan het strafrechtelijk verwijt?
Vergelijk de situatie waarin ik met toestemming van de boer het bekende bordje "verboden toegang" passeer.

Inderdaad, als je je dan vervolgens ernstig misdraagt op het terrein van de boer kun je niet achteraf gaan klagen dat je daar geen moppers voor hoort te krijgen.

Wat is er zo onbegrijpelijk aan het "responsible" van responsible disclosure? Meestal krijg je een eervolle vermelding en hooguit een t-shirt, dus ik vind een bonus van 300 Euro zo gek nog niet.
Dat je niet hele databases leeg moet gaan trekken of discs wipen om te laten zien wat je allemaal kan met je hack, lijkt me nogal logisch. Als de buurman zijn sleutel in de deur heeft laten zitten, dan bel je toch gewoon even aan? Dan sluip je toch niet naar binnen om de tv te jatten en brand te stichten? Zo wel, dan verdien je het OM wel achter je aan lijkt me.