Beetje vreemde reactie. Hoeveel grote en klein bedrijven zijn de afgelopen jaren niet gekraakt ?
Ik weet niet of je weet hoever de HCC last heeft gehad ledenkrimp ? De HCC heeft naar mijn mening behoorlijk moeten afslanken! Ook heeft de HCC enorm veel vrijwillegers en volgens mij vrij weinig betaalde krachten.

100% veilig systemen bestaan niet. Dus ja het jammer dat het gebeurd is. De HCC is er in ieder geval eerlijk over en maakt het openbaar en de server is offline. Wat hadden ze meer kunnen doen ?

Ben het met rwk eens, dit kan elk bedrijf gebeuren, al is het natuurlijk wel ernstig. Maar heel vreemd hoe HCC dit heeft laten gebeuren is het niet.

Verwijderd. Sorry, per ongeluk was dezelfde reactie 2x gepost. Zie hieronder.

Jouw reactie vind ik vreemd. Als genoeg mensen door rood gaan rijden wordt het acceptabel?

Wat er precies is misgegaan weet ik niet. Maar jouw reactie suggereert dat je minder onderhoudsinspanningen hoeft te verrichten naarmate er bijv. minder mensen voor beschikbaar zijn (vertaald naar commerciële organisaties: inkomsten teruglopen). En dat mensen wiens gegevens minder goed worden beveiligd wel zullen begrijpen waarom.

In z'n algemeenheid geldt (niet specifiek voor dit HCC incident):

1) Zodra mankracht ontbreekt om systemen met vertrouwelijke gegevens fatsoenlijk te onderhouden, die systemen uitzetten en de schijven wissen. Indien uitzetten niet "kan", de betrokkenen waarschuwen en ze de kans geven hun gegevens te verwijderen. Alternatief: betrokkenen om een bijdrage vragen om het systeem te laten onderhouden.
Nietsdoen in deze situatie is geen optie en verwijtbaar.

2) Inderdaad, 100% veilige systemen bestaan niet. Echter, de oorzaak van zo'n lek is meestal gebrek aan onderhoud, gebruik van niet meer onderhouden software, onduidelijkheid wie verantwoordelijk is of een zwak beheerderwachtwoord. M.a.w. zelden een 0-day, meestal een gebrek aan cyberhygiène.

3) Bij de start van projecten de risico's afwegen en een exit-strategie vastleggen. En, die risico's en exit-strategie publiceren zodat personen die hun gegevens delen, redelijkerwijs kunnen weten welke risico's zij daarbij lopen.

Nogmaals, ik weet niet precies hoe het HCC systeem gehacked kon worden, maar vind jouw argumenten om incidenten zoals deze, bij voorbaat goed te praten, onacceptabel. Helaas denken te veel mensen zoals jij. Met een dergelijke instelling gaan we systemen niet veiliger krijgen. Erger, gehackte oganisaties kunnen naar reacties als die van jou verwijzen met "zelfs specialisten op security.nl vinden het heel begrijpelijk dat zoiets gebeurt".

Ik zie op hun site dat het niet om de hele HCC gaat.
Een klein onderdeel voor 65 plussers was zo slim om een gehakte website weer terug te zetten.
Hopelijk pakt de Hcc ze keihard aan.

Waarschijnlijk gaat bejaarde webmaster, die niks om beveiliging geeft. Die moeten ze meteen de laan uit sturen.

Heel mooi allemaal, maar nu vanaf het business perspective.

Nee, maar het kan een keer gebeuren. Iets met 100% security bestaat niet, wat je beneden ook zegt.

Tuurlijk is het acceptabel, mensen maken fouten. Het wordt pas onacceptabel als er sprake is van nalatigheid. Krijgen we de 810.000 boete van het CPB? Nee, we hebben het netjes gemeld toch?
Bel team legal even of ze de boel kunnen controleren, dan zitten we prima. Goed - volgende onderwerp op de agenda.


'Hoeft te verrichten', lekker theoretisch en een ethisch argument. Als je minder resources hebt, kun je minder doen. It's that simple.

Volgens mij ben je hier sarcastisch. Ik heb even een Google opdracht uitgevoerd op 'HCC gehacked'. De enige twee resultaten zijn de pagina genoemd in topic starter zijn reactie, en een link naar deze post. Op Twitter kwam ik ook noppes tegen. Nu.nl staat het niet op. Waar precies zijn die mensen die het niet begrijpen?
Die drie klanten die ik eventueel hierdoor kwijtraak boeit me niks, heb al lang geld terug verdiend op het besparen op InfoSec.


Oh - het interne InfoSec team gaat nu bedrijfsdata verwijderen vanwege een paar ethische standpunten. Lekker dan.
Of we gaan naar onze leden communiceren dat we het eigenlijk niet goed aankunnen en daarmee inherent aangeven dat hun data in geding is.
Dat wordt de PR-campagne van het jaar.


Ik dacht juist dat dit de functie was van het infosec team? Wat doen die gasten de hele dag behalve hun verantwoordelijkheden terug de operatie in afschuiven.


Nog meer geniale PR van het infosec team. Hey COO - waar zitten die cheffies eigenlijk? Hebben ze uberhaubt wel door dat er aan het einde van de dag geld verdient moet worden?

Waarschijnlijk de reactie van een jongere die zelf vrijwel niks van dit soort dingen weet.
En dan ook nog eens de kennis van de webmaster, zonder enige informatie, vergelijkt met die van zijn grootouders.

Als jouw reactie sarcastisch bedoeld is (wat ik hoop), sluit hij mooi aan op een eerdere bijdrage van mij in https://www.security.nl/posting/409730/#posting409764.

En hoewel jouw reactie niet van toepassing lijkt op de (niet commerciële) HCC seniorensite, is het wel een beetje laf dat de HCC https://www.hcc.nl/webzine/nieuws/hccseniorenacademie-gehackt achter een login gezet heeft en er op https://www.hcc.nl/webzine/nieuws/ niets over vermeldt.