Apeldoorn betaalt gemiddeld 80 euro per kwetsbaarheid
De gemeente Apeldoorn heeft 1850 euro uitgekeerd aan mensen die er sinds deze zomer in zijn geslaagd om de website van de gemeente te hacken. De deelnemers die geld uitgekeerd kregen vanwege de ‘digitale klokkenluidersregeling’ van de gemeente Apeldoorn, zijn er echter niet rijk van geworden. In vier maanden tijd heeft Apeldoorn een totaal van 1850 euro uitgekeerd.
Op die manier heeft de gemeente 23 manieren ontdekt waarop de website gehackt kon worden. Gemiddeld is er per kwetsbaarheid dus ongeveer 80 euro uitgekeerd.
Beveiliging
Afgelopen zomer riep de gemeente mensen op om kwetsbaarheden in de site bloot te leggen en deze te melden aan de gemeente. Als dank daarvoor kregen de melders een vergoeding van maximaal 300 euro.
Het uiteindelijke doel van de actie was natuurlijk om de beveiliging van de systemen te verbeteren. Verantwoordelijk wethouder Detlev Cziesso reageert tevreden: “We proberen op allerlei manieren ons systeem zo optimaal mogelijk te beveiligen. De bruikbare tips hebben we verwerkt en zo is ons systeem weer een stukje beter beveiligd.”
De gemeente Apeldoorn ziet de vraag aan burgers om kwetsbaarheden op te sporen en te melden, als een digitale vorm van burgerparticipatie.
Mes snijdt dus aan twee kanten:
- gemeente wordt niet gehackt maar geholpen
- kosten zijn miniem vergeleken bij een PwC consultant met Nessus en dezelfde resultaten
Wellicht kunnen de 23 hackers hier melden hoeveel uur/minuten ze hebben besteed per lek.
Dan pas kunnen we een inschatting maken of het uitgekeerde geld een relevante beloning was en in hoeverre security onderzoekers door de gemeente serieus genomen worden.
Het melden van lekken een vorm van burgerparticipatie noemen doet al het ergste vermoeden.
Hoe zou het staan met de maatschappelijke burgerparticipatie van de dikbetaalde ambtenaren en managers binnen de gemeente Apeldoorn?
Zien wij deze ambtenaren maandelijks ten minste 1 dag terug op bijvoorbeeld de werkvloer van de ouderenzorg in vergrijzende duiven gemeente Apeldoorn?
Maatschappelijke betrokkenheid schijnt tegenwoordig vrij exclusief te zijn voorbehouden aan degenen die geen vaste (ambtenaren)baan hebben of die geen vet salaris hebben, als we die middenklasse nog moeten geloven.
Dat zit scheef en klopt natuurlijk niet.
Of de ideeën van Karl M. daarvoor weer eens afgestoft dienen te worden valt te betwijfelen, wellicht liever dan ideeën shoppende populistische tegenpolen.
Het lijkt in ieder geval duidelijk en allang hoog tijd om die zelfvoldane vette middenklasse stevig van het pluche te gaan schuiven en weer kennis te laten maken met de werelden waar ze continue van alles over vinden en beslissen.
Apeldoornse zelfvoldane middenklasse wakker schudden, ook een hele nuttige vorm van maatschappelijke participatie.
Mes snijdt dus aan twee kanten:
- gemeente wordt niet gehackt maar geholpen
- kosten zijn miniem vergeleken bij een PwC consultant met Nessus en dezelfde resultaten
De gemeente heeft al een bureau een audit laten uitvoeren. Dat is absoluut een ethisch vereiste voordat je de site (eigendom van het volk dus) laat hacken met het risico op het op straat komen te liggen van persoonlijke gegevens.
Hoezo, is geld verdienen het enige doel in deze wereld ? Ik informeer bedrijven en particulieren regelmatig wanneer ze getroffen zijn door breaches. Had ik daar geld voor moeten vragen ? En wat is er tegen een bijdrage leveren aan de veiligheid in de samenleving, zonder daarbij direkt te denken aan $$$ ?
Of jij maatschappelijk betrokken bent, dat bepaal je zelf.
Mooi dat jullie aan "Responsible disclosure" doen, maar hoe garanderen we dat de "tegenpartij" (de hackers) dat ook doen?
Mooi dat jullie aan "Responsible disclosure" doen, maar hoe garanderen we dat de "tegenpartij" (de hackers) dat ook doen?
Wat een rare vraag? Het zijn juist o.a. hackers (white hat meestal) die melding doen via de responsible disclosure. Dat geeft de ontvangende organisatie de mogelijkheid om lekken te dichten zodat kwaadwillende hackers er geen gebruik meer van kunnen maken.
Gezien de vraag zou ik adviseren om het boek van Chris van 't Hof, Helpende hackers, eens te lezen. Dat legt een en ander heel helder uit en laat ook de praktijk en de totstandkoming zien (en nee, ik heb geen belang bij dat boek).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.