Politie: we staan aan de kant van ethische hackers
Als het gaat om responsible disclosure en ethische hackers blijkt dat eigenlijk alle betrokken partijen, van politie en bedrijven tot de hackers zelf en media die kwetsbaarheden melden, dit een goed idee vinden. Dat werd duidelijk tijdens een paneldiscussie die op de ONE Conferentie van het Nationaal Cyber Security Center plaatsvond. "We staan vooral aan de kant van de ethische hackers. Zij zorgen ervoor dat we minder werk krijgen en de wereld veiliger wordt. Ik zie ethische hackers dan ook niet aan de andere kant staan", aldus Peter Zinn, strategisch adviseur van het Team High Tech Crime (THTC) van de politie.
Toch zijn niet alle bedrijven even blij als ze door een hacker worden benaderd dat er bijvoorbeeld een kwetsbaarheid in hun website aanwezig is. Zo kunnen hackers boze reacties tegemoet zien of wordt er met juridische stappen gedreigd. Volgens Katie Moussouris, Chief Policy Officer bij HackerOne, ondergaan veel van dit soort bedrijven de vijf fases van "vulnerability response grief". In de eerste fase wordt er nog ontkend dat er een probleem is. Later wordt er geprobeerd om tijd te winnen en de laatste fase is de acceptatiefase. "Daar wordt je energie het beste gebruikt voor de omgang met kwetsbaarheden en de hackergemeenschap."
Er zijn verschillende platformen waar hackers en onderzoekers geld krijgen voor het melden van kwetsbaarheden. Moussouris, die via HackerOne zelf zo'n platform aanbiedt, merkt op dat er niet altijd geld bij betrokken moet zijn, maar dat het wel als aanmoediging kan werken. Het is in ieder geval belangrijk dat er een responsible disclosurebeleid wordt gehanteerd waarin staat hoe kwetsbaarheden kunnen worden gemeld en hoe hier mee wordt omgegaan, vertelde ze.
Tijdens de paneldiscussie liet een medewerker van een bedrijf weten dat de communicatieafdeling het niet zag zitten om een artikel over hackers en beveiligingslekken te plaatsen, omdat ze alleen positief nieuws willen. Hans de Vries, hoofd van het NCSC, reageerde daarop door te stellen dat responsible disclosure een win-win-situatie is. "Het is goed nieuws dat iemand zo betrokken is om jouw systemen veiliger te maken. Het is belangrijk dat deze mensen hun tijd op een goede in plaats van een negatieve manier gebruiken. Ik zou ze dan ook eerder inhuren dan het OM op ze afsturen." Ook het NCSC krijgt meldingen van kwetsbaarheden, iets waar De Vries blij mee is. "En dat zouden alle partijen moeten zijn die zo'n melding ontvangen."
Uitnodiging
Een andere reden die bedrijven soms geven om geen responsible disclosurebeleid te plaatsen is omdat ze dit als een uitnodiging voor hackers zien om hun systemen te hacken, stelde Moussouris. Als reactie op dit soort bedrijven gebruikte ze een quote van een vriend. "Als je op internet zit dan wordt er gekeken of er kwetsbaarheden in je systemen zitten. Het kan alleen zijn dat je de melding niet ontvangt." Door een disclosurebeleid te plaatsen kunnen bedrijven aangeven wat wel en niet is toegestaan en is het aan de hackers om die regels te volgen, wat uiteindelijk het leven voor de bedrijven makkelijker maakt. "Het plaatsen van een responsible disclosurebeleid is geen uitnodiging om je te hacken, maar een uitnodiging om kwetsbaarheden in je website te melden", besloot Moussouris de discussie.
IN WAT VOOR EEN LAND LEVEN WE ?
IN WAT VOOR EEN LAND LEVEN WE ?
Voor je gaat schreeuwen is het misschien verstandig om je even te verdiepen in wat er op de bijeenkomst precies is gezegd. Het CBP heeft daar ook aangegeven dat als een bedrijf de beveiliging van persoonsgegevens niet in orde heeft, men graag heeft dat zij dat ook horen.
En de 'dader' wordt juist niet aangeklaagd als er sprake is van responsible disclosure. Het OM is ontzettend blij dat ze niet, zoals in zo veel andere landen, verplicht is altijd een zaak aan te spannen. Daarom werkt responsible disclocure zo goed in Nederland. In Duitsland kun je als bedrijf en hacker nog zo veel afspreken als je wilt, als er een disclosure komt, staat de politie alsnog op de stoep. Ook zonder aangifte.
Peter
Het falende bedrijf wordt de hand boven het hoofd gehouden. Het gaat hier niet om een responsible disclosure, het zou om een responsible security beleid moeten gaan.
Zaken worden omgedraaid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.