Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Veiligheid en verantwoordelijkheid (Column)

  • Door
  • Rashid Niamat
  • geplaatst op
  • 24 juni 2010 08:03 uur

Dat ISPAM regelmatig aandacht besteedt aan veiligheid is een goede zaak, want veiligheid en online dienstverlening zijn nauw met elkaar verbonden.

Echter wat veiligheid nu precies is en hoe hosters, providers, datacenters dat kunnen beïnvloeden is lastig te bepalen. Niet zelden wordt de indruk gewekt dat de klant of winkelier beter moet opletten en dat de andere schakels in de keten daardoor niets te verwijten valt.

Recent besteedde John Knieriem aandacht aan zo’n zaak waar default naar de klant werd gewezen. Het ging om een Duits vonnis, dat oordeelde dat gebruikers verplicht zijn het modem “adequaat” te beveiligen. Terecht werd er echter door deskundigen opgemerkt dat het modem in de regel ter beschikking wordt gesteld door de provider. Heeft die dan ook geen verplichting?

Het complete vonnis is met enige weken vertraging gepubliceerd (in eerste instantie waren er alleen een verkort vonnis en persbericht beschikbaar). Dit was recent onderwerp van een studiemiddag met diverse security medewerkers.

Tijdens de sessie is een veel voorkomend elektronisch bestel annex betaaltraject uitgetekend. Het begon bij de gebruiker die achter zijn (besmette) computer zit en via een (onbeveiligd) Wlan surft naar de website van zijn (niet gepatchte) webshop, daar een bestelling plaats en die elektronisch via zijn bank betaalt. We zagen circa 10 punten waar de gegevens konden worden onderschept of gemanipuleerd.

Wie op elk punt verantwoordelijk was, daarover verschilden de meningen. De bankmedewerkers reageerden, dat ze verdachte transacties snel waarnemen en de klanten intensief waarschuwen op te letten. De vertegenwoordiger van een access provider wees de aanwezigen op de veiligheidspakketten die ze aanbieden.

De B2B hoster bevond zich in een lastiger parket. Natuurlijk zal hij patches zsm doorvoeren. Maar actief speuren naar lekken in de shopmodules van zijn klanten, zoals werd geopperd, ging hem en anderen te ver. Het verplicht melden van incidenten binnen zijn netwerk, waar ook nu over gesproken wordt, zag hij evenmin zitten. In beide gevallen speelde de vrees verantwoordelijk gehouden te worden voor ofwel een niet geconstateerd lek dan wel een onjuiste melding. Deze houding zag ik bij meerdere partijen en lijkt de verdere discussie over veiligheid in de weg te staan.

Ik begrijp die vrees maar al te goed, helemaal nadat ik van het BSI (Bundesamt für Sicherheit in der Informationstechnik) het onderzoek naar ID diefstal en de impact daarvan op de gehele keten kreeg toegestuurd. Het 415 pagina’s (!) tellende rapport, is echt de moeite van het lezen waard.

Sebastiaan Stok, 24 juni 2010 11:32 am

Dat is moeilijk geval :)
De webshop eigenaar (of dit geval aanbieder) moet de webshop voldoende beveiligen. Als deze daar in verzuimd dan is dat hem aan te rekenen.

Maar omdat nu verschillende partijen betrokken zijn!
Word het opeens een stuk complexer.

Eigenlijk is iedereen iets aan te rekenen.
* De webshop had ook zonder een WLAN kunnen worden misbruikt
* De Modem (of beter gezegd draadloze-router) die door de internet provider ter beschikking was gesteld was niet beveiligt.

Alleen de gebruiker blijft buiten schot, als consument moet je erop kunnen vertrouwen wat je gebruikt veilig is.
Als je zelf naar een obscure website gaat (waar mensen voor waarschuwen) dan zou het een ander verhaal zijn.
Of als je zelf een router koopt en deze niet beveiligt, want dan heb je een eigen verantwoordelijkheid.


"De vertegenwoordiger van een access provider wees de aanwezigen op de veiligheidspakketten die ze aanbieden."
Welbekende verkooppraatje :| Een antivirus, firewall, SELinux hardend Kernel gaat je niet beschermen tegen een open internet verbinding!

Rashid Niamat, 27 juni 2010 12:19 pm

@Sebastiaan,

de complexiteit zal denk ik alleen maar toenemen. De aansprakelijkheid lijkt me dan ook niet met een standaardformule te omschrijven.

De wijze waarop de webshophouder/designer inlogt op de webserver lijkt me bijvoorbeeld ook relevant kunnen zijn als er sprake is van datalekken of erger.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.