1800 euro - dat moet de goedkoopste pen-test van een overheidswebsite ooit zijn!

Mes snijdt dus aan twee kanten:
- gemeente wordt niet gehackt maar geholpen
- kosten zijn miniem vergeleken bij een PwC consultant met Nessus en dezelfde resultaten

Bravo voor dit mooie voorbeeld van een werkende implementatie van een digitale klokkenluidersregeling AKA responsible disclosure beleid!

Bravo! En waar kunnen we de code van de website downloaden? Hoe wordt dit teruggegeven aan de burger/andere overheden?

Minuten gemiddeld besteed per ontdekking lek?

Wellicht kunnen de 23 hackers hier melden hoeveel uur/minuten ze hebben besteed per lek.
Dan pas kunnen we een inschatting maken of het uitgekeerde geld een relevante beloning was en in hoeverre security onderzoekers door de gemeente serieus genomen worden.
Het melden van lekken een vorm van burgerparticipatie noemen doet al het ergste vermoeden.

Hoe zou het staan met de maatschappelijke burgerparticipatie van de dikbetaalde ambtenaren en managers binnen de gemeente Apeldoorn?
Zien wij deze ambtenaren maandelijks ten minste 1 dag terug op bijvoorbeeld de werkvloer van de ouderenzorg in vergrijzende duiven gemeente Apeldoorn?

Maatschappelijke betrokkenheid schijnt tegenwoordig vrij exclusief te zijn voorbehouden aan degenen die geen vaste (ambtenaren)baan hebben of die geen vet salaris hebben, als we die middenklasse nog moeten geloven.

Dat zit scheef en klopt natuurlijk niet.
Of de ideeën van Karl M. daarvoor weer eens afgestoft dienen te worden valt te betwijfelen, wellicht liever dan ideeën shoppende populistische tegenpolen.
Het lijkt in ieder geval duidelijk en allang hoog tijd om die zelfvoldane vette middenklasse stevig van het pluche te gaan schuiven en weer kennis te laten maken met de werelden waar ze continue van alles over vinden en beslissen.

Apeldoornse zelfvoldane middenklasse wakker schudden, ook een hele nuttige vorm van maatschappelijke participatie.

De gemeente heeft al een bureau een audit laten uitvoeren. Dat is absoluut een ethisch vereiste voordat je de site (eigendom van het volk dus) laat hacken met het risico op het op straat komen te liggen van persoonlijke gegevens.

Hoezo, is geld verdienen het enige doel in deze wereld ? Ik informeer bedrijven en particulieren regelmatig wanneer ze getroffen zijn door breaches. Had ik daar geld voor moeten vragen ? En wat is er tegen een bijdrage leveren aan de veiligheid in de samenleving, zonder daarbij direkt te denken aan $$$ ?


Of jij maatschappelijk betrokken bent, dat bepaal je zelf.

De vraag is of door dit soort activiteiten de gemeente Apeldoorn veiliger is geworden. Een veilige website is slecht een onderdeel van een totaal plaatje.

Het gemiddelde gaat dus omhoog. Het doet echter niets tegen hondenpoep.

Goed dat deze gemeente aan Responsible disclosure doet. Dat zouden echt alle organisaties (profit en nonprofit) in Nederland moeten doen. Doet onze organisatie ook. Echt een budget hebben we niet, maar we geven bij het ontdekken van een lek wel een t-shirt; "all i got was this lousy t shirt", u kent 'm wel. Het hoeft niet veel te kosten.

Mooi dat jullie aan "Responsible disclosure" doen, maar hoe garanderen we dat de "tegenpartij" (de hackers) dat ook doen?

Wat een rare vraag? Het zijn juist o.a. hackers (white hat meestal) die melding doen via de responsible disclosure. Dat geeft de ontvangende organisatie de mogelijkheid om lekken te dichten zodat kwaadwillende hackers er geen gebruik meer van kunnen maken.

Gezien de vraag zou ik adviseren om het boek van Chris van 't Hof, Helpende hackers, eens te lezen. Dat legt een en ander heel helder uit en laat ook de praktijk en de totstandkoming zien (en nee, ik heb geen belang bij dat boek).