Gepubliceerd: Woensdag 2 april 2008
De PvdA wil een meldplicht instellen voor grote bedrijven na inbraak in hun computersystemen. Publiekelijke 'naming en shaming' is de volgende stap.
Toon volledig artikel
Wat wil de PvdA hier mee voor elkaar krijgen?
Extra Lasten voor het bedrijfleven?
Laat ze maar eens een meldplicht voor graaiende PvdA Leden maken....
Laat ze maar eens een meldplicht maken voor zakken vullers.
Verbeter de wereld begin bij jezelf!
Wat is het excuus om als bedrijf je (netwerk-)beveiliging niet op orde te hebben?
Dus: hoezo extra lasten? Het had al geregeld moeten zijn.
Er is theoretisch geen excuus.
Maar er moet wel voldoende budget en animo voor zijn bij het bedrijf.
Ik ben nu tijdelijk gedetacheerd bij een (publiek) bedrijf en de beveiliging is werkelijk lachwekkend te noemen.
Ze zijn bang om die op te schroeven, omdat die arme gebruikers het al zo zwaar hebben en al langer klagen over IT (we hebben al zo'n slechte naam en de CIO luistert niet eens meer naar onze manager, blah, blah).
Bij sommige bedrijven moet werkelijk iets fouts gebeuren, voor het belang ervan wordt ingezien.
Dat is net zoiets als backups terugzetten om te testen of het werkt, gebeurt ook niet bij veel bedrijven.
Dat is net zoiets als backups terugzetten om te testen of het werkt, gebeurt ook niet bij veel bedrijven.
Ik jeb meegemaakt dat ee bedrijf gedurende jaren elke dag een leeg bandje in de kluis zette.
De backupsoftware deed gewoo helemaal niets, ook het verifiëren deed hij niet en keurde elk bandje goed.
Ze kwamen erachter, de schade werd toen becijferd op 25 miljoen, het was een vrij klein bedrijf, het is ook failliet gegaan hierna.
Gelukkig heeft Linux het geniale zwitserse zakmes voor allerlei van dit soort klusjes, en gratis.
rsync. Geen fancy software, geen fancy interfaces, maar gewoon, een betrouwbaar werkpaard, met reeksen switchen en parameters die vereisen dat diegene die het doet snapt wat ie doet, endat is wel een prettig gevoel wat erbij komt.
Waarschijnlijk bestaat het ook voor Windows onder cygwin
Je moet gewoon common sense gebruiken.
En bij veel bedrijven worden de tapes gewisseld door stagiaires (zo ben ik ook ooit begonnen).
Maar ik heb in de loop van jaren veel IT collega's gehad die ooit een truckje geleerd hebben en verder nooit iets bijgeleerd op IT gebied.
Ze weten alles van Youtube en p2p, maar hun technische kennisnivo is bedroevend.
Ik had vroeger ooit een baas die wilde weten als een backup 2 dagen achter elkaar niet gewerkt had.
Als die na de 3e dag nog niet werkte, dan ging je maar met diskettes backuppen en anders kon je oprotten en gelijk had hij.
Wat voor bedrijf je bent maakt niet uit, beveiliging hoort bij je inventaris, een juwelier die geen kluis en verzekering kan/wil betalen zit snel zonder werk.
Het zijn vaak gegevens van anderen waar je verantwoordelijk voor bent, op zijn minst wel die van klanten. Hoe duurder die gegevens hoe zwaarder je beveiliging, dit is een onderdeel van je bedrijfsplan, zo niet moet je stoppen want je bent dan niet geschikt om dat type bedrijf te voeren.
Ik vind het wel een goed initiatief. Deze bedrijven hebben mijn (ons) geld en gegevens en zou het graag willen weten als daar slecht mee omgesprongen wordt. Voor mij zou het een reden kunnen zijn om naar een concurrent over te stappen.
Gewoon openbaar maken en daarbij vermelden wat er prijsgemaakt is door de inbrekers. Dat zorgt er in ieder geval voor dat bij veel bedrijven beveiliging eindelijk de belangrijkheid krijgt die het verdient.
Met de vele multinationals in Nederland gaan we weer het braafste jongetje avan de Europese klas zijn. Dit gaat de Nederlandse economie (als er een melding komt) veel geld kosten.
Welke multinationals? Als het zo door gaat met het verkopen van alle grote bedrijven zijn er straks geen multinationals meer in Nederland.
Moeten bedrijven hackers uitnodigen om hun ook eens gokje te wagen?
Een meldplicht instellen voor grote bedrijven na inbraak in hun computersystemen, lijkt me erg dom.
Wat nou als een helpdeskmedewerker kinderporno (is ook computercriminaliteit, dacht ik) vind op de pc van de CEO?
Ik ben bang dat dit bij sommige bedrijven ook onder de tafel geschoffeld wordt.
hoeveel burgers zijn het slachtoffer van computercriminaliteit???
hoeveel leed is er daar door daar niet aanwezig???
als je als burger aangifte doe dan,
a) hij wordt niet in behandeling genomen, omdat de daders zogenaamd toch niet te achterhalen zijn
b) als hij al in behandeling genomen wordt, dan doen ze daar niets mee, want het is toch maar een low prioritie case.
c) als er al een onderzoek naar kom, dan zijn de straffen zo belachelijk laag, dat het niet eens nut heeft.
nee, onze mooie regering heeft alleen maar oog voor de grote bedrijven en hen zelf.
Ik ben (mede)eigenaar van een Internet-onderneming in het Noorden van Nederland. Ik heb een aantal malen aangifte bij de politie gedaan ivm inbraak/misbruik(pogingen) van onze systemen cq server(s).
Hierbij heb ik de laatste maal het nodige onderzoek al gedaan (geïnjecteerde software analyseren, in kaart brengen van het doel/doelen, IRC server vinden, aantal tests uitvoeren, contact leggen met de beheerder van de IRC server etc..) resultaat een twee uur durend verhaal houden op het politieburo tegen een (aller aardigste) agente die de ballen van computers snapte. Tot op heden geen enkele terugkoppeling ontvangen.
Het is voor ons de komende paar jaar weer einde oefening om hier tijd in te gaan steken, aangezien het (ook) deze keer weer overduidelijk was dat gewoonweg de juiste kennis niet bij de politie aanwezig is.
nou dat bedoel ik, jij had al heel wat vooronderzoek gedaan, en nog nul.
wat betreft juiste kennis, het heeft meer te maken met prioriteiten.
B.V: je doe aangifte dat je één kinderpornoplaatje op je server heeft, binnen no time staan ze bij je binnen om sporen onderzoek te doen, en te onderzoek waar het vandaan komt.
doe je aangifte dat je gehackt ben en 100.000 euro schade daardoor ben opgelopen, dan nemen ze uit beleefdheid een aangifte met je op, en je hoor er nooit meer wat van.
en niet vergeten, prioriteiten worden vastgesteld door de regering.
Toch vind ik iets een beetje vreemd:
Heel theoretisch zou je niet aan beveiliging hoeven te doen, want je hoort met je (digitale) handen van andermans spullen te blijven. Aangezien dat een utopie is, mag je verwachten dat bedrijven hun maatregelen nemen.
Tot zover eens.
Maar "naming and shaming" van wat eigenlijk het slachtoffer is, vind ik een tikje vreemd. Alsof je de eigenaar van een gestolen fiets aan de schandpaal nagelt omdat hij geen slot gebruikt, terwijl dat wat mij betreft voor de de dief moet gelden. "Naming & shaming" van daders lijkt me meer (of minstens net zoveel) op zijn plaats.
Ik geloof dat het "naming and shaming" de bedrijven betreft die onterecht aan hun klanten hebben gezegd dat ze te vertrouwen zijn, waardoor privacy-gevoelige gegevens van de klanten op straat kunnen komen te liggen.
Dat "shaming" mag er van mij wel van af, maar een persoon of een bedrijf heeft er wel recht op te weten dat hun gegevens op straat zijn komen te liggen. Het "naming" is dus in mijn opinie zeer terecht, dat "shaming" er automatisch aan vast zit, dat is bitter, maar niet opzet.
Bijvoorbeeld dat jouw hele bedrijf kan weten dat jij een geslachtsziekte aan een niet voor de hand lichaamsdeel had opgelopen, en collega X toevallig ook, en dat omdat jouw bedrijfsarts slordig was met zijn security, daar mag best wel wat "naming" aan vooraf gaan, zodat jij, op je gemak aan een degelijke smoes kunt werken, die niemand gelooft, maar toch handig is om stijfkoppig vol te houden, en met schaamrood achter je monitor weg te duiken.
Dat "shaming", tja, de bedrijfsarts had natuurlijk voor zijn security moeten zorgen, kost een cent, maar jouw bank doet dat ook.
Het verplichten om inbraak te melden is ook juist om de impact te zien, hoe hoger de impact hoe hoger de prioriteit moet (gaan) worden. Tenminste, dat begrijp ik uit het artikel.
Eigenlijk ook logisch, 2 laserguns op 100 hardrijders of 100 laserguns op 2 hardrijders?
Daarnaast hebben gebruikers van een dienst beter inzicht hoe het met veiligheid gesteld is en blijven bedrijven scherper, als ze nu de nog moeten verbeteren zijn ze aan de late kant. Kunnen ze een inbraak waar, naar hun idee, de impact laag is, stil houden zullen ze dat doen.
Voor een bedrijf is het niet erg als er een paar Email adressen gescoopt worden, de eigenaren krijgen toch meestal alleen last van extra spam? Maar wees een zo een Emailer.
Volgens het bericht zou Shaming een soort straf zijn, ik neem aan dat dat gebeurt bij een bedrijf dat in herhaling(en) valt, ook om ons te laten zien dat deze niet (willen) leren.
Zo gek is dat toch niet dat een fiets wordt gestolen?
De kans is groot. 760 duizend tweewielers zijn vorig jaar op niet geheel legitieme wijze van eigenaar veranderd
www.pressit.nu/...ndex.php?n=1003
Dat is er al, dat heet de krant, dagelijks worden in diverse kranten politici kritisch gewogen.
Een dergelijk systeem wordt nu bepleit voor bedrijven die hun klantgegevens verliezen
Een meldpunt en meldplicht zijn twee verschillende zaken. Bovendien is de berichtgeving in een krant nogal gekleurd, je mag hopen dat als je melding maakt bij een door de overheid opgezet meldpunt e.e.a. vanuit een wat meer objectieve bril wordt opgepakt...
Soms lijkt het allemaal zo simpel te zijn.
Mij ontgaat volledige de logica achter dit idee. In heel veel gevallen komt data op straat terecht door fouten die door mensen gemaakt worden en niet door een ondeugdelijke beveiliging, moet dit dan ook worden gemeld? Diefstal gebeurt ook nogal vaak eens van binnenuit, door personeel, en daar is bijna niets tegen te doen volgens mij. Wouter kan zich beter bezig houden om de overheidszaken eerst een keer op orde te krijgen, zodat we weer fatsoenlijk onderwijs, politie en gezondheidszorg hebben.
In heel veel gevallen komt data op straat terecht door fouten die door mensen gemaakt worden en niet door een ondeugdelijke beveiliging, moet dit dan ook worden gemeld
Indien door een fout gegevens op straat kunne komen is er ook sprake van een situatie waarin door een fout gegevens op straat kunnen komen. Mensen die hun gegevens toevertrouwen aan een organisatie waarbinnen dergelijke fouten mogelijk zijn, mogen dat weten, althans, dat is mijn opvatting.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
