Nieuws

D66 wil hackers beter belonen en wettelijk kader voor zero-days

woensdag 20 februari 2019, 12:30 door Redactie, 11 reacties

Als het aan D66 ligt worden ethische hackers die kwetsbaarheden melden beter beloond en komt er een wettelijk afwegingskader voor zero-days. Ook moet encryptie niet voor opsporingsdoeleinden worden verzwakt. Dat heeft de partij in de vandaag gepresenteerde Techvisie 2.0 laten weten (pdf).

De Techvisie beschrijft een politieke agenda voor de digitalisering. Ten opzichte van de eerste Techvisie die in 2016 verscheen vraagt de nieuwste editie extra aandacht voor de impact van kunstmatige intelligentie, de macht van de grote techbedrijven en de dreiging van digitale aanvallen. "Het is de verantwoordelijkheid van de overheid om onze democratie, onze vitale infrastructuur, onze bedrijfsgeheimen en onze staatsveiligheid te beschermen. Dit zonder te vervallen in censuur, zonder onverantwoord gebruik van cyberwapens en zonder lukraak bedrijven uit bepaalde landen te weren", zo schrijft D66-Kamerlid Kees Verhoeven, opsteller van de Techvisie.

Om digitale aanvallen af te slaan doet Verhoeven verschillende aanbevelingen. Zo moet er een wettelijk afwegingskader komen voor het gebruik van zero-days. Het gaat dan om kwetsbaarheden die nog niet bij de leverancier bekend zijn. Inlichtingen- en opsporingsdiensten kunnen er gebruik van maken om verdachten te volgen. Als deze diensten de leverancier niet informeren kunnen miljoenen internetgebruikers risico lopen, aangezien er dan ook geen update wordt ontwikkeld.

In de Verenigde Staten is het Vulnerabilities Equities Process opgezet dat verschillende diensten en ministeries bij elkaar brengt om te beslissen of een bepaalde zero-day gebruikt of bij de leverancier gemeld moet worden. In Nederland is een dergelijk afwegingskader via een beleidsregel van toepassing op de AIVD en MIVD "Maar de politie en defensie onttrekken zich hieraan", aldus Verhoeven. D66 wil het afwegingskader voor het gebruik van zero-days door overheden wettelijk regelen via een initiatiefwet.

Ethische hackers

Om digitale aanvallen af te slaan wil D66 ook dat ethische hackers, die kwetsbaarheden bij organisaties melden, beter worden beloond. "Creëer een beloningsstructuur voor ethisch hackers en onderzoekers die zwakke plekken ontdekken", zo laat de Techvisie weten. Het melden van kwetsbaarheden bij een organisatie, en die in staat stellen om het lek te patchen, wordt responsible disclosure genoemd.

Nederland is één van de eerste landen ter wereld met een zogeheten Responsible Disclosure-richtlijn die ethische hackers in staat stelt om kwetsbaarheden te melden. Verhoeven wil dat het responsible disclosure-principe wettelijk wordt vastgelegd, zodat ethische hackers niet strafrechtelijk worden vervolgd.

Verder roept de Techvisie op tot het scannen van de vitale infrastructuur op kwetsbaarheden en verouderde software, het stimuleren van tweefactorauthenticatie en wachtwoordmanagers, het trainen van ambtenaren en medewerkers in gevoelige sectoren in digitale veiligheid en het niet verzwakken van encryptie voor opsporingsdoeleinden.

Beveiligingslek in mIRC laat aanvaller code uitvoeren

Restaurants in VS getroffen door malware die creditcarddata steelt

Reacties (11)

20-02-2019, 12:41 door Anoniem

"Creëer een beloningsstructuur voor ethisch hackers en onderzoekers die zwakke plekken ontdekken", zo laat de Techvisie weten.

Huur gewoon pentesters in, en betaal markt conform tarief. Waarom willen sommigen graag werken in ruil voor een t-shirt, of meer van dat soort onzin.

20-02-2019, 13:19 door Anoniem

Ethische hackers! Alleen zo jammer dat zulke types noch ethisch noch "hacker" zijn. Maar hee, lekker stoer doen met de verlepte buzwords van de keizerlijke "cyber"textielhandel. Echt iets voor '66 om met de muziek mee te willen lopen en dan de verkeerde muziek te kiezen.

20-02-2019, 15:34 door Ron625

Door Anoniem: Alleen zo jammer dat zulke types noch ethisch noch "hacker" zijn.

Een hacker is zelden strafbaar, maar er is een verschil tussen een hacker en een cracker.
Desnoods noem je het (verkeerd) een witte en een zwarte hacker, maar alles over één kam scheren is verkeerd.

20-02-2019, 17:08 door Anoniem

Door Ron625:

Door Anoniem: Alleen zo jammer dat zulke types noch ethisch noch "hacker" zijn.

Je bedoelt kennelijk zonder het te weten, een cracker richt zich op het beveiligingsaspect, een hacker komt uit een kompleet andere hoek. Tenminste, dat was zo voordat "de mainstream" en ook de s'kiddies van de sekjoerietie er een zooitje van maakten. Tegenwoordig is "hacker" een soort smurf, die smurft. Wat'ie precies doet? Nou, hij is blauw.

20-02-2019, 17:32 door Anoniem

"Ik ben een ethische hacker."

"Maar niet als ik er even geen wil zijn, maar eens lekker de boel wil vernaggelen."

En dit vind ik dus het grote probleem: iedereen kan roepen dat ie ethische hacker is,
en toch kan iemand ook eens even een keer "bad hacker" zijn.
Garanties zijn er niet.

Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.

20-02-2019, 18:24 door Ron625

Door Anoniem:
Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.

We hebben in Nederland de wetgeving, die bepaald dat jouw schuld bewezen moet worden.
Het staat mij vrij, om van alle auto's op straat te kijken of de deuren op slot zitten.
Zodra ik een deur open doe, zit ik in een grijs gebied en zodra ik die auto in ga is het inbraak.

Hacken kan ook op je eigen PC, gewoon een stuk software hacken, of een beveiliging omzeilen.

20-02-2019, 20:52 door karma4

Staatssteun aan commerciële bedrijven heeft vrijwel nooit goed resultaat gehad. Het is d es groot commercie die oss als goedkoop en gratis aanprijst. Laat die grootcommercie gewoon kwaliteit leveren.

Kwaliteit met toetsen door keuringsinstituten en verplicht herstel van fouten binnen de verwachte gebruiksduur heeft wel goed gewerkt. Dat kan je herhalen.

21-02-2019, 11:18 door Anoniem

Huur gewoon pentesters in, en betaal markt conform tarief. Waarom willen sommigen graag werken in ruil voor een t-shirt, of meer van dat soort onzin.

Yeah, enkel nextlevel-pentesters: de ZZP'er (zelfstandige zonder pensioen). Want een t-shirt had je al.

22-02-2019, 15:27 door Anoniem

Door Anoniem: "Ik ben een ethische hacker."

"Maar niet als ik er even geen wil zijn, maar eens lekker de boel wil vernaggelen."

En dit vind ik dus het grote probleem: iedereen kan roepen dat ie ethische hacker is,
en toch kan iemand ook eens even een keer "bad hacker" zijn.
Garanties zijn er niet.

Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.

"Ik ben ethisch hackers. In mijn vrije tijd. Het klopt dat ik werkloos ben? Hoe ik wat? Oh ik heb een sociale uitkering. Ja ik ben socialist. (is echt waar) Heeft er toch niets mee te maken? U noemt men lui? Welnee ik zoek binnenkort een baantje, alles officieel en als ik toch ethisch en sociaal verantwoordelijk bezig ben, hou je dan op met klieren?"

22-02-2019, 15:29 door Anoniem

Het zijn toch ook net mensen...

Dus komt het neer op het gedrag van het moment. En daarvoor hebben we een aantal concepten:
1. Wanneer iemand die binnen de scope van een verzoek van een bedrijf dat genoemde bedrijf test, is het gedrag per definitie ethisch.
2. Onder bepaalde omstandigheden kunnen hacks onder research, journalistiek of klokkenluiden vallen (bijvoorbeeld Professor Jacobs met de OV-Chipkaart). Indien dat het geval is en binnen de scope blijft, is het gedrag ethisch.
3. Voor 'ongevraagd' hacken kunnen responsible disclosure regels worden afgesproken tussen bedrijf en hackers of community. Gedrag binnen de scope van de responsible disclosure regels is dan per definitie ethisch.

En zo kunnen er nog meer omstandigheden worden afgesproken.

22-02-2019, 15:44 door Anoniem

Ze scheppen wel mooi de mogelijkheid om een paar groepen mensen "gecertificeerd" (lees geregistreerd) aan de slag te laten gaan in een wettelijk beschermd kader. Dat heeft allerlei voordelen voor de ethische hacker en de staat. De blackhats hebben toch alles. Zo kun je tenminste nog doen als.. wel zo democratisch. Vergelijken met andere Staten enz.

Het is ook een beetje als een diplomaat met titel "cultureel attache". Iedereen weet dan wie de spion in het dorp is en je hoeft hem niet te volgen want hij doet toch niks bijzonders behalve het recyclen van reeds beschikbare openbare info. Iedereen blij en men kan dan schermen met een verantwoordelijk democratische model in het cyberdomein.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer