image

Apeldoorn betaalt 300 euro voor beveiligingslekken

woensdag 15 juli 2015, 12:35 door Redactie, 11 reacties

De gemeente Apeldoorn is een "digitale klokkenluidersregeling" gestart, waarbij onderzoekers en hackers die kwetsbaarheden in de systemen van de gemeente vinden een beloning van maximaal 300 euro kunnen krijgen. Het voorstel voor een responsible disclosure-beleid was vorig jaar al gedaan (pdf).

Sinds deze week is de regeling echter op de website van de gemeente verschenen. Daarin wordt een aantal voorwaarden genoemd waar de vinders van kwetsbaarheden aan moeten voldoen. Zo wordt er om voldoende informatie gevraagd om het probleem te reproduceren, moeten bugmeldingen het liefst versleuteld worden verstuurd om te voorkomen dat de informatie in verkeerde handen valt en worden advies en reclame over bepaalde beveiligingsproducten niet gewaardeerd.

Ook stelt het beleid verschillende handelingen die niet zijn toegestaan, zoals het achterlaten van malware, het gebruik van social engineering, het gebruik van brute force om toegang tot systemen te krijgen, het openbaar maken van kwetsbaarheden voordat ze zijn opgelost, het uitvoeren van DoS-aanvallen en het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is, zoals het kopiëren van vertrouwelijke gegevens. Als onderzoekers zich aan deze regels houden zal er geen strafrechtelijke aangifte volgen en wordt er ook geen civielrechtelijke zaak aangespannen.

De gemeente Apeldoorn zegt verder toe dat het gevonden problemen binnen 30 dagen zal oplossen en er in onderling overleg kan worden bepaald of en op welke wijze er over het probleem wordt gepubliceerd. Als laatst stelt de gemeente dat onderzoekers kunnen worden bedankt voor hun hulp. Afhankelijk van de ernst van het lek en de kwaliteit van de bugmelding kan de beloning tot maximaal 300 euro oplopen.

Reacties (11)
15-07-2015, 12:39 door Anoniem
Het beleid zou moeten stellen dat systemen fatsoenlijk beveiligd moeten zijn, en dat een fooi van 300 euro voor het opsporen van andermans nalatige fouten overbodig zou moeten zijn.
15-07-2015, 13:05 door Anoniem
Tja, een niet gemeld datalek kost straks een veelvoud dus die fooi van 300 is maar schamel. Verder moet je als onderzoeker niet het lek onderzoeken door het te gebruiken want dan zou je die 300 euro zomaar in de lik ten gelde moeten gaan maken, voor zover deze dan überhaupt wordt uitgekeerd. Kortom, leuk en goed initiatief van de gemeente Apeldoorn maar laten we eerst maar eens afwachten of het OM hier wel in mee gaat. Die kan zonder aangifte namelijk ook gewoon een zaak overnemen en de klokkenluider alsnog vervolgen.
15-07-2015, 14:00 door Anoniem
'Doe mee en Win!'

Als onderzoekers zich aan deze regels houden zal er geen strafrechtelijke aangifte volgen en wordt er ook geen civielrechtelijke zaak aangespannen.
Hoe vrij en vriendelijk is een uitnodiging met vooraf 'zwaar geschut' op je gericht?

Dreigen
->Indien u aan alle bovenstaande voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.

-> Als blijkt dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
"Rot maar op met je uitnodiging als je denkt dat het met vooraf dreigen moet. Spelregels opstellen prima, vooraf al gaan dreigen, bekijk het maar."
Zou zomaar een gedachte kunnen zijn hier en daar.

Kennelijk denkt men aan, richt men zich bij responsible disclosure policies op totale idioten waarvan het maar helemaal de vraag is of dat beeld aansluit bij de meer intelligente doelgroep die men probeert te bereiken.

Kunnen : eenvoudig ‘dankjewel’
Wij kunnen u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een eenvoudig ‘dankjewel’ tot een bedrag van maximaal 300 euro. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.
Grote kans dat geïnteresseerden zich op voorhand niet melden, omdat ze er niets voor voelen onder het beding van dreiging en een verwaarloosbare vergoeding met hele vage voorwaarden zich te laten paaien.
Waarom staat dankjewel eigenlijk tussen aanhalingstekens?

Algemene sociale regel
Als je iets van een ander gedaan wil krijgen, ook nog voor een eventuele habbekrats, zul je om te beginnen, je zeer vriendelijk dienen op te stellen!

Selectief specifiek
Ben je uitermate specifiek in de omschrijving van je dreigingen en wensenpakket?
Wees dat dan ook in de wijze van je beloningssysteem.
Het accentverschil, de disbalans daarin zegt al genoeg, vooral oog voor het eigenbelang.

Overbodige dreigingen
Hacken is in algemene zin toch al ongeoorloofd, wettelijk vrijwel niet toegestaan, dus de dreiging van juridische stappen bij een ruimere hack aanpak dan de uitnodiging behelst is dus volstrekt overbodig.
Bij lezing van de uitnodiging met vele voorwaarden blijft toch vooral de dreiging hangen.

Allemaal een beetje dom!
Apeldoorn is niet de enige die zich op deze zogenaamde responsible disclosure manier vooral in de eigen voeten schiet.
Heel stom, je trekt er minder belangstelling mee en het is feitelijk toch vooral ook negatieve pr voor de eigen organisatie. Vooral de angst, onzekerheid en achterdocht schijnt er volop doorheen.

Eenoog ziet dat het werkt (kuch)
Dit weinig realistische responsible disclosure systeem blijft overeind omdat men het gebrek aan feedback van testers en hackers niet zal opvatten als een essentieel gebrek in de eigen opstelling.
Wat men niet weet of merkt of ziet is immers geen probleem al had men redelijkerwijs wel vooraf kunnen bedenken dat dit uitnodigingen zijn van een sociaal achterlijke soort.

Leftovers voor instappers
Als werkelijk serieuze geïnteresseerde tester denk je wel drie keer na om op voorwaarden van waarschijnlijk geen vergoeding en mogelijke vervolging via een andere achterdeur deel te nemen.
Reken er in ieder geval maar op dat je naam definitief op meer lijstjes zal belanden dan je lief is.

Wat is het je waard en wat schiet je er zelf nou eigenlijk mee op?
15-07-2015, 14:12 door Anoniem
Het is nog veel minder dan een armzalige fooi.

In Nederland betaal je er namelijk ook nog eens heel veel belasting over.
Net als "vakantiegeld" is dit namelijk een z.g. "Bijzondere Beloning" en deze wordt dus extra belast.

Experts moeten het maar eens precies berekenen, maar ik denk
dat je hier ongeveer 168 euro van over gaat houden.
15-07-2015, 14:53 door Anoniem
Zijn we nu echt aan het klagen over het feit dat een gemeente uit eigen beweging een responsible disclosure beleid heeft opgetuigd?

Ik begrijp dat de vergoeding niet bijzonder hoog is, maar het is beter dan vervolgd worden en niks krijgen.

Ben ik ook de enige die het 'we gaan je niet vervolgen' blurbje met een positieve toon leest á la "In principe is computervredebreuk strafbaar, maar bij ons mag het toch! Je hoeft je alleen aan de volgende regels te houden". Het biedt jou de garantie dat je niet vervolgd gaat worden.
15-07-2015, 15:09 door almaric
Een lek bij de overheid kan écht niet en alles is dan per direct ruk. Een overheidsorgaan dat uit eigen beweiging via deze manier (samen) een veiligere overheid wilt creëren, kan zo te lezen aan de reacties óók al niet. Wat willen we nu? Als hogere bonussen worden uitgedeeld zijn er vast mensen die dit zonde van het belastinggeld vinden?
15-07-2015, 15:36 door SecOff - Bijgewerkt: 15-07-2015, 15:37
Ik lees hier wel een hoop kritiek maar geen suggesties over hoe het dan wel zou moeten? Deze gemeente biedt een zekere mate van bescherming voor mensen die bereid zijn de overheid te helpen bij het opsporen van beveiligingslekken.
Dat hierbij voorwaarden gesteld worden is logisch. Als ze dat niet zouden doen en iemand breekt in en legt de systemen plat of zet de hele administratie op internet dan zou diegene zich met succes kunnen beroepen op toestemming van de gemeente.
Suggesties voor verbeteringen dragen meer bij aan een veiliger digitale samenleving dan klakkeloos alle overheidsinitiatieven de grond in boren. (hoewel ik moet toegeven dat het in veel gevallen wel terecht is)

Groet,
een ex ambtenaar.
15-07-2015, 16:01 door Ron625
Dan doen ze het in Eindhoven beter, daar nodigen ze hackers uit op een hackers-dag, dan hebben ze alles in de gaten.
Voor zover ik weet, hebben ze dan ook toegang tot een back-up systeem, zodat ze niet de originele servers hacken.
15-07-2015, 16:45 door Anoniem
Je moet absoluut niet denken dat zo'n disclosure regeling je gaat beschermen tegen de overheid. De gemeente mag dan wel blij zijn met je hulp, het OM kan nog altijd (in bepaalde gevallen) een onderzoek starten bijvoorbeeld in zake computervredebreuk.
15-07-2015, 17:37 door Anoniem
Door Anoniem: Je moet absoluut niet denken dat zo'n disclosure regeling je gaat beschermen tegen de overheid. De gemeente mag dan wel blij zijn met je hulp, het OM kan nog altijd (in bepaalde gevallen) een onderzoek starten bijvoorbeeld in zake computervredebreuk.

Die mededeling vereist toch wel enige toelichting. Door de disclosure-regeling kan weliswaar nog wel technisch aan een delictsomschrijving worden voldaan, maar het is wel de vraag of er sprake is van wederrechtelijk gedrag omdat binnen de grenzen van de regeling toestemming werd verleend. Als de grenzen van die toestemming niet worden overschreden, wat is dan het strafrechtelijk verwijt?
Vergelijk de situatie waarin ik met toestemming van de boer het bekende bordje "verboden toegang" passeer.
18-07-2015, 16:45 door Anoniem
Door Anoniem:
Door Anoniem: Je moet absoluut niet denken dat zo'n disclosure regeling je gaat beschermen tegen de overheid. De gemeente mag dan wel blij zijn met je hulp, het OM kan nog altijd (in bepaalde gevallen) een onderzoek starten bijvoorbeeld in zake computervredebreuk.

Die mededeling vereist toch wel enige toelichting. Door de disclosure-regeling kan weliswaar nog wel technisch aan een delictsomschrijving worden voldaan, maar het is wel de vraag of er sprake is van wederrechtelijk gedrag omdat binnen de grenzen van de regeling toestemming werd verleend. Als de grenzen van die toestemming niet worden overschreden, wat is dan het strafrechtelijk verwijt?
Vergelijk de situatie waarin ik met toestemming van de boer het bekende bordje "verboden toegang" passeer.

Inderdaad, als je je dan vervolgens ernstig misdraagt op het terrein van de boer kun je niet achteraf gaan klagen dat je daar geen moppers voor hoort te krijgen.

Wat is er zo onbegrijpelijk aan het "responsible" van responsible disclosure? Meestal krijg je een eervolle vermelding en hooguit een t-shirt, dus ik vind een bonus van 300 Euro zo gek nog niet.
Dat je niet hele databases leeg moet gaan trekken of discs wipen om te laten zien wat je allemaal kan met je hack, lijkt me nogal logisch. Als de buurman zijn sleutel in de deur heeft laten zitten, dan bel je toch gewoon even aan? Dan sluip je toch niet naar binnen om de tv te jatten en brand te stichten? Zo wel, dan verdien je het OM wel achter je aan lijkt me.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.