Hoi,
Het wordt bijna dagelijks nieuws: Bright lekt persoonsgegevens abonnees
(http://webwereld.nl/nieuw...abonnees.html?source=head)
Ten eerste is natuurlijk de vraag hoe het komt dat mensen aan wildvreemden zo gemakkelijk informatieverstrekken zonder te weten hoe die informatie vervolgens beveiligd wordt. Maar wel met vervolgens met verontwaardiging op dit soort berichten vervolgens reageren.
Ten tweede, is het een beetje raar dat persoonsgegevens (en andere gevens, zoals belgegevens, reisgegevens etc) massaal door derden mogen worden opgeslagen zonder dat er geen enkele vorm van controle is op de beveiliging (wel tav van de verwerking igv de Wbp).
Ik stel dus voor, voordat het in de toekomst nog weer eens echt goed mis gaat, dat er een soort APK-voor websitebeheerders van gevoelige informatie wordt ingevoerd.
Dit betekent dat hun website eens in de zo veel tijd door een ander wordt gecontroleerd op de wijze van veiligheid van het beheer van de informatie (net zoals je auto aan bepaalde veiligheidsnormen moet voldoen om de weg om te mogen). Verder betekent dit dat niet iedereen die keuringen mag uitvoeren maar alleen gecertificeerde bedrijven. Hiervoor komt een centrale organisatie die de vergunningen en minimumnormen gaat verlenen en boetes kan opleggen.
Pas nadat de veiligheid van opslag is gecontroleerd en goed bevonden (de keuring) wordt toestemming verleend. Uitgezonderd zouden kunnen worden, kleine websites die weinig persoonlijke gegevens opslaan.
Het is vind ik een schande dat er te veel nitwits in de ICT zijn die geen enkele kaas hebben gegeten van behoorlijke beveiliging, maar vervolgens wel scriptjes voor grotere bedrijven zitten te schrijven. Het gebeurt m.i. te vaak en naarmate meer en meer digitaal gebeurt in de toekomst wordt het toch echt tijd voor betere maatregelen. Ik weet nog goed dat ik een aantal jaar geleden toegang kon krijgen tot de klantgegevens van een niet nader te noemen grote organisatie door sql-injection admin-acces verkreeg met een simpele: ' or ''=' (bij inloggen).
Ik laat mijn gasinstallatie toch ook niet door een randombedrijfje installeren, die moeten daarvoor ook gecertificeerd voor zijn. Waarom ITérs met zulke gevoelige data niet?
Bovendien maakt het mogelijk om als je gekeurd bent een keurmerk te dragen, bv: 'je gegevens zijn encrypted opgeslagen'. Dan weet de normale consument ook beter of iets wel of niet goed omgaat met de gegevens op beveiligingsniveau. Kijk alles is te kraken, maar er zijn voldoende 'best practices' (/minimumnormen) om in ieder geval een basis te leggen, iets wat nu al vaak niet gebeurt. Ook biedt het ICTérs en bedrijfjes zich de mogelijkheid om zich verder te onderscheiden, door zo'n certificaat of vergunning binnen te slepen.
[nb: ik wil hier niet een discussie over wat maakt het nou uit dat je gegevens op straat liggen, ik heb niets te verbergen]
Het wordt bijna dagelijks nieuws: Bright lekt persoonsgegevens abonnees
(http://webwereld.nl/nieuw...abonnees.html?source=head)
Ten eerste is natuurlijk de vraag hoe het komt dat mensen aan wildvreemden zo gemakkelijk informatieverstrekken zonder te weten hoe die informatie vervolgens beveiligd wordt. Maar wel met vervolgens met verontwaardiging op dit soort berichten vervolgens reageren.
Ten tweede, is het een beetje raar dat persoonsgegevens (en andere gevens, zoals belgegevens, reisgegevens etc) massaal door derden mogen worden opgeslagen zonder dat er geen enkele vorm van controle is op de beveiliging (wel tav van de verwerking igv de Wbp).
Ik stel dus voor, voordat het in de toekomst nog weer eens echt goed mis gaat, dat er een soort APK-voor websitebeheerders van gevoelige informatie wordt ingevoerd.
Dit betekent dat hun website eens in de zo veel tijd door een ander wordt gecontroleerd op de wijze van veiligheid van het beheer van de informatie (net zoals je auto aan bepaalde veiligheidsnormen moet voldoen om de weg om te mogen). Verder betekent dit dat niet iedereen die keuringen mag uitvoeren maar alleen gecertificeerde bedrijven. Hiervoor komt een centrale organisatie die de vergunningen en minimumnormen gaat verlenen en boetes kan opleggen.
Pas nadat de veiligheid van opslag is gecontroleerd en goed bevonden (de keuring) wordt toestemming verleend. Uitgezonderd zouden kunnen worden, kleine websites die weinig persoonlijke gegevens opslaan.
Het is vind ik een schande dat er te veel nitwits in de ICT zijn die geen enkele kaas hebben gegeten van behoorlijke beveiliging, maar vervolgens wel scriptjes voor grotere bedrijven zitten te schrijven. Het gebeurt m.i. te vaak en naarmate meer en meer digitaal gebeurt in de toekomst wordt het toch echt tijd voor betere maatregelen. Ik weet nog goed dat ik een aantal jaar geleden toegang kon krijgen tot de klantgegevens van een niet nader te noemen grote organisatie door sql-injection admin-acces verkreeg met een simpele: ' or ''=' (bij inloggen).
Ik laat mijn gasinstallatie toch ook niet door een randombedrijfje installeren, die moeten daarvoor ook gecertificeerd voor zijn. Waarom ITérs met zulke gevoelige data niet?
Bovendien maakt het mogelijk om als je gekeurd bent een keurmerk te dragen, bv: 'je gegevens zijn encrypted opgeslagen'. Dan weet de normale consument ook beter of iets wel of niet goed omgaat met de gegevens op beveiligingsniveau. Kijk alles is te kraken, maar er zijn voldoende 'best practices' (/minimumnormen) om in ieder geval een basis te leggen, iets wat nu al vaak niet gebeurt. Ook biedt het ICTérs en bedrijfjes zich de mogelijkheid om zich verder te onderscheiden, door zo'n certificaat of vergunning binnen te slepen.
[nb: ik wil hier niet een discussie over wat maakt het nou uit dat je gegevens op straat liggen, ik heb niets te verbergen]
[ Voor 9% gewijzigd door Verwijderd op 31-03-2009 09:21 ]
:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
SG->BV:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
:strip_icc():strip_exif()/u/32232/laupro60x60.jpg?f=community)
