D66 wil hackers beter belonen en wettelijk kader voor zero-days
Als het aan D66 ligt worden ethische hackers die kwetsbaarheden melden beter beloond en komt er een wettelijk afwegingskader voor zero-days. Ook moet encryptie niet voor opsporingsdoeleinden worden verzwakt. Dat heeft de partij in de vandaag gepresenteerde Techvisie 2.0 laten weten (pdf).
De Techvisie beschrijft een politieke agenda voor de digitalisering. Ten opzichte van de eerste Techvisie die in 2016 verscheen vraagt de nieuwste editie extra aandacht voor de impact van kunstmatige intelligentie, de macht van de grote techbedrijven en de dreiging van digitale aanvallen. "Het is de verantwoordelijkheid van de overheid om onze democratie, onze vitale infrastructuur, onze bedrijfsgeheimen en onze staatsveiligheid te beschermen. Dit zonder te vervallen in censuur, zonder onverantwoord gebruik van cyberwapens en zonder lukraak bedrijven uit bepaalde landen te weren", zo schrijft D66-Kamerlid Kees Verhoeven, opsteller van de Techvisie.
Om digitale aanvallen af te slaan doet Verhoeven verschillende aanbevelingen. Zo moet er een wettelijk afwegingskader komen voor het gebruik van zero-days. Het gaat dan om kwetsbaarheden die nog niet bij de leverancier bekend zijn. Inlichtingen- en opsporingsdiensten kunnen er gebruik van maken om verdachten te volgen. Als deze diensten de leverancier niet informeren kunnen miljoenen internetgebruikers risico lopen, aangezien er dan ook geen update wordt ontwikkeld.
In de Verenigde Staten is het Vulnerabilities Equities Process opgezet dat verschillende diensten en ministeries bij elkaar brengt om te beslissen of een bepaalde zero-day gebruikt of bij de leverancier gemeld moet worden. In Nederland is een dergelijk afwegingskader via een beleidsregel van toepassing op de AIVD en MIVD "Maar de politie en defensie onttrekken zich hieraan", aldus Verhoeven. D66 wil het afwegingskader voor het gebruik van zero-days door overheden wettelijk regelen via een initiatiefwet.
Ethische hackers
Om digitale aanvallen af te slaan wil D66 ook dat ethische hackers, die kwetsbaarheden bij organisaties melden, beter worden beloond. "Creëer een beloningsstructuur voor ethisch hackers en onderzoekers die zwakke plekken ontdekken", zo laat de Techvisie weten. Het melden van kwetsbaarheden bij een organisatie, en die in staat stellen om het lek te patchen, wordt responsible disclosure genoemd.
Nederland is één van de eerste landen ter wereld met een zogeheten Responsible Disclosure-richtlijn die ethische hackers in staat stelt om kwetsbaarheden te melden. Verhoeven wil dat het responsible disclosure-principe wettelijk wordt vastgelegd, zodat ethische hackers niet strafrechtelijk worden vervolgd.
Verder roept de Techvisie op tot het scannen van de vitale infrastructuur op kwetsbaarheden en verouderde software, het stimuleren van tweefactorauthenticatie en wachtwoordmanagers, het trainen van ambtenaren en medewerkers in gevoelige sectoren in digitale veiligheid en het niet verzwakken van encryptie voor opsporingsdoeleinden.
Huur gewoon pentesters in, en betaal markt conform tarief. Waarom willen sommigen graag werken in ruil voor een t-shirt, of meer van dat soort onzin.
Desnoods noem je het (verkeerd) een witte en een zwarte hacker, maar alles over één kam scheren is verkeerd.
Desnoods noem je het (verkeerd) een witte en een zwarte hacker, maar alles over één kam scheren is verkeerd.
"Maar niet als ik er even geen wil zijn, maar eens lekker de boel wil vernaggelen."
En dit vind ik dus het grote probleem: iedereen kan roepen dat ie ethische hacker is,
en toch kan iemand ook eens even een keer "bad hacker" zijn.
Garanties zijn er niet.
Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.
Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.
Het staat mij vrij, om van alle auto's op straat te kijken of de deuren op slot zitten.
Zodra ik een deur open doe, zit ik in een grijs gebied en zodra ik die auto in ga is het inbraak.
Hacken kan ook op je eigen PC, gewoon een stuk software hacken, of een beveiliging omzeilen.
Kwaliteit met toetsen door keuringsinstituten en verplicht herstel van fouten binnen de verwachte gebruiksduur heeft wel goed gewerkt. Dat kan je herhalen.
"Maar niet als ik er even geen wil zijn, maar eens lekker de boel wil vernaggelen."
En dit vind ik dus het grote probleem: iedereen kan roepen dat ie ethische hacker is,
en toch kan iemand ook eens even een keer "bad hacker" zijn.
Garanties zijn er niet.
Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.
"Ik ben ethisch hackers. In mijn vrije tijd. Het klopt dat ik werkloos ben? Hoe ik wat? Oh ik heb een sociale uitkering. Ja ik ben socialist. (is echt waar) Heeft er toch niets mee te maken? U noemt men lui? Welnee ik zoek binnenkort een baantje, alles officieel en als ik toch ethisch en sociaal verantwoordelijk bezig ben, hou je dan op met klieren?"
"Maar niet als ik er even geen wil zijn, maar eens lekker de boel wil vernaggelen."
En dit vind ik dus het grote probleem: iedereen kan roepen dat ie ethische hacker is,
en toch kan iemand ook eens even een keer "bad hacker" zijn.
Garanties zijn er niet.
Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.
Het zijn toch ook net mensen...
Dus komt het neer op het gedrag van het moment. En daarvoor hebben we een aantal concepten:
1. Wanneer iemand die binnen de scope van een verzoek van een bedrijf dat genoemde bedrijf test, is het gedrag per definitie ethisch.
2. Onder bepaalde omstandigheden kunnen hacks onder research, journalistiek of klokkenluiden vallen (bijvoorbeeld Professor Jacobs met de OV-Chipkaart). Indien dat het geval is en binnen de scope blijft, is het gedrag ethisch.
3. Voor 'ongevraagd' hacken kunnen responsible disclosure regels worden afgesproken tussen bedrijf en hackers of community. Gedrag binnen de scope van de responsible disclosure regels is dan per definitie ethisch.
En zo kunnen er nog meer omstandigheden worden afgesproken.
"Maar niet als ik er even geen wil zijn, maar eens lekker de boel wil vernaggelen."
En dit vind ik dus het grote probleem: iedereen kan roepen dat ie ethische hacker is,
en toch kan iemand ook eens even een keer "bad hacker" zijn.
Garanties zijn er niet.
Misschien moeten ethische hackers als zodanig "gecertificeerd" zijn om tegenover anderen meer garantie te bieden over zijn of haar hacking aard.
Ze scheppen wel mooi de mogelijkheid om een paar groepen mensen "gecertificeerd" (lees geregistreerd) aan de slag te laten gaan in een wettelijk beschermd kader. Dat heeft allerlei voordelen voor de ethische hacker en de staat. De blackhats hebben toch alles. Zo kun je tenminste nog doen als.. wel zo democratisch. Vergelijken met andere Staten enz.
Het is ook een beetje als een diplomaat met titel "cultureel attache". Iedereen weet dan wie de spion in het dorp is en je hoeft hem niet te volgen want hij doet toch niks bijzonders behalve het recyclen van reeds beschikbare openbare info. Iedereen blij en men kan dan schermen met een verantwoordelijk democratische model in het cyberdomein.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.