Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

I hacked my government and all I got was this lousy t-shirt

08 april 2015 - 07:484 minuten leestijdAdvertorialSecurity & Awareness
Redactie Computable
Redactie Computable

Steeds meer bedrijven houden er een beleid op na waarbij ze, onder bepaalde voorwaarden, gehackt mogen worden. Ze krijgen zo inzicht in de kwaliteit van hun IT-beveiliging. ‘Responsible disclosure’ heet dat met een duur woord. Tijdens de komende Global Conference on Cyberspace 2015 (GCCS 2015) op 16 en 17 april wordt het hoogstwaarschijnlijk één van de grote thema’s van de dag. Ik wil me echter hardmaken voor de volgende beleidsstap: ‘responsible protection.’

Over deze blogger

Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Vanuit zijn rol is hij betrokken bij diverse adviesvraagstukken bij verschillende organisaties in Nederland en daarbuiten. De insteek van Barry is om vanuit een offensieve security-aanpak de wereld te verbeteren. Hij vervult hier de rol van adviseur/consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.

Hackers hebben een slechte naam. Mensen schuiven de gordijnen dicht wanneer ze langslopen op straat. Bij een potje voetbal worden ze als laatste gekozen. En laten ze nou nooit eens gematst worden door de conducteur wanneer ze vergeten in te checken met het OV. Het beeld is immers: het zijn dieven. Miljoenen gestolen bij banken, websites die dagen plat liggen en creditcard-fraude met gestolen persoonsgegevens… een duistere hacker in een hoody, breed grijnzend achter een laptop, zal er verantwoordelijk voor zijn.

De meeste hackers hebben echter helemaal geen slechte intenties. Ze zijn juist de oplossing voor problemen rond slechte IT-beveiliging. Ze denken out of the box en kunnen een organisatie wijzen op risico’s en lekken waar die organisatie zelf nog nooit aan gedacht heeft. 

Van responsible disclosure…

Een paar bedrijven hadden dat al vroeg in de gaten. Met name Marktplaats is een goed voorbeeld. Als zij gehackt worden, zijn ze er (meestal) alleen maar blij mee. Zij waren één van de eerste organisaties met een responsible disclosure-beleid. Op hun website maakte Marktplaats bekend dat het onder voorwaarden toegestaan is om hen te hacken. De bevindingen van de hacker moeten in ieder geval aan hen worden medegedeeld en er mag geen schade zijn. Een slimme zet, want door dit beleid wordt Marktplaats constant gewezen op mogelijke lekken en is de kwaliteit van de beveiliging van de site goed.

Responsible disclosure heeft door de jaren heen navolging gekregen. Het is bovendien verder geperfectioneerd. Bedrijven als KPN, Microsoft en Marktplaats loven zelfs een beloning uit aan hackers die laten zien wat er mis is met hun site. Ook de overheid heeft een beloning voor responsible disclosure hackers: een T-shirt met opdruk “I hacked my government and all I got was this lousy t-shirt”. Goed voor de bedrijven en de overheid. Maar ook voor de hackers. Eindelijk is het vertrouwen in hen eens aan het groeien.  

…naar responsible protection

Tijdens het komende GCCS wordt responsible disclosure waarschijnlijk één van de belangrijkste gespreksonderwerpen. Responsible disclosure gaat mij echter nog niet ver genoeg. Ik wil me eens hard maken voor responsible protection: een op de eigen site gepubliceerde statement waarin de organisatie zich verplicht iets met de informatie uit een responsible disclosure te doen. Want wat heb je aan adviezen wanneer er vervolgens geen verantwoordelijkheid genomen wordt?

En belangrijker nog: in een responsible protection-statement zou wat mij betreft ook een informatieverplichting moeten staan. Wanneer mijn persoonsgegevens, mailadressen of bankgegevens gestolen zijn, wil ik dat weten. In de huidige digitale wereld zijn dergelijke gegevens eenvoudig te kopiëren. Een BSN-nummer die jaren geleden gestolen is, kan na jaren tijd nog steeds gebruikt worden. Ik denk dat zo’n informatieplicht voor veel mensen echt een wake up call zal zijn. Ze zullen zich bewust worden van de risico’s met als gevolg dat de overheid en het bedrijfsleven meer aandacht aan dit belangrijke onderwerp gaan geven. Op die manier krijgt security eindelijk de aandacht die het verdient.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging van AI in de praktijk

    AI is hot, maar de praktijk binnen grote organisaties blijkt weerbarstig. Stop met brandjes blussen; zo schaal en beveilig je met succes.

    Computable.nl

    Beveiliging begint bij de Server

    Is serverhardware de blinde vlek in het securitybeleid? Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat Digitale Connectiviteit Bouw- en Installatiebranche

    Connectiviteit is de kern van veel processen en van strategisch belang voor de toekomst. Waar sta jij?

    Meer lezen

    Ontslag afscheid opstappen
    ActueelSecurity & Awareness

    Eén ciso op zeven wil beroep vaarwel zeggen

    OpinieCloud & Infrastructuur

    Introductie van sase in het netwerk: eenvoudiger beheer en lagere kosten

    ActueelSecurity & Awareness

    Hoe Olivia en wachtwoord ‘123456’ McDonald’s in verlegenheid brachten

    ActueelInnovatie & Transformatie

    Kort: Conscia neemt Open Line over, 6,1 miljoen voor 3d-oplossing tandenknarsen (en meer)

    ActueelCarrière

    Veroordeelde ASML-spion overtrad sancties en pleegde computervredebreuk

    OpinieSecurity & Awareness

    Over post-quantum security (en waarom je nú moet handelen)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialData & AI

    Private AI helpt gemeenten met vertrou...

    In een tijd waarin gemeenten geconfronteerd worden met groeiende verwachtingen van burgers, toenemende wet- en regelgeving en druk op budgetten,...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs