Responsible disclosure is al enige tijd flink in het nieuws, en terecht. Het “hacken” van systemen van overheid en bedrijfsleven nam een al te flinke vlucht.
Minister Opstelten van Justitie en Veiligheid heeft, naar aanleiding van de Belgacom-afluisterpraktijken, gemeld dat er geen programma van de NSA was gericht op telecom diensten in Nederland, tenminste voor zover hij wist. Glenn Greenwald liet echter noteren dat er wel degelijk omvangrijke spionagepraktijken waren van de NSA in ons land.
Op 4 oktober werd mijn aandacht getrokken door een artikel over de Rabobank op webwereld.nl. De bank had met de NCSC – dat is een programma voor responsible disclosure, waarmee hackers een melding kunnen plaatsen als die lekken vinden bij de bank zonder ervoor vervolgd te worden – samengewerkt en ervoor gezorgd dat de ict van de bank eens flink getest werd. Op zich een prima initiatief, hoewel het opvallend is dat een bank hackers nodig heeft, ondanks een toch fors ict-budget. En die hackers dan ook nog eens beloond, want als dank krijgen die voor de gevonden lekken een geldelijke beloning of een T-shirt voor de gedane moeite!
Bedrijven die stuk voor stuk dure ICT’ers in dienst hebben, met veel know how over wet en regelgeving, maar met opvallend weinig hacking skills uit de underground.
Om het niveau van beveiliging in Nederland op een hoger plan te trekken zal men moeten investeren in nieuwe technologie- en beveiligingsbedrijven. Start-ups die out of the box durven te denken.
Het wordt tijd voor visie, minder bemoeienis van de overheid en fresh thinking!
