- Door
- Jeroen Mulder
- geplaatst op
- 6 januari 2017 08:00 uur
Duidelijke taal: Het resultaat na 366 dagen ethisch hacken: “Security is zo lek als een mandje”. Het is de kop boven een publicatie op de eigen site van de GDI.Foundation waarin vrijetijds ethical hackers Vincent Thoms en Victor Gevers verslag doen van hun project. Dat project startte op 1 januari 2016: Thoms en Gevers besteedden een jaar lang aan het opsporen van kwetsbaarheden en potentiële datalekken. Het resultaat: 690 ernstige lekken bij 590 bedrijven in 71 landen.
Thoms en Gevers hebben beiden reguliere banen en doen dit werk in hun vrije tijd. Dat werk wordt gefinancierd met giften. Kortom: Project366 is geen fulltime-bezigheid geweest over het afgelopen jaar. Zou dat wel het geval zijn geweest, was het aantal opgespoorde lekken vermoedelijk met gemak opgelopen tot enkele duizenden. Over het hele jaar 2016 werden er wereldwijd meer dan 6300 lekken opgespoord én gerapporteerd. Het meest tijdrovende is de verificatie van een gevonden lek: dat dient nu eenmaal heel zorgvuldig te gebeuren. In Nederland vond het duo 136 lekken.
Zorgwekkender is de tijd die bedrijven nemen om een lek te dichten. Een Nederlands bedrijf doet er gemiddeld acht dagen over. Niet dat een lek na acht dagen gerepareerd is: nee, het gaat om de tijd die een bedrijf nodig heeft om na de melding tot actie over te gaan. Het gaat hier dus om de reactietijd. Ter referentie melden Thoms en Gevers dat de reactietijd bij Belgische bedrijven iets meer dan vijf dagen is. Wereldwijd gezien doen we het nog niet zo slecht: internationaal doen bedrijven er bijna elf dagen over om te reageren na de melding. Zorgelijk als je bedenkt dat dit voor de helft publieke exploits geldt, aldus het duo.
Formeel is het project afgerond, maar de GDI.Foundation blijft wel bestaan en Thoms en Gevers blijven actief in het opsporen en melden van lekken. Op hun website waarschuwen ze voor cybercrime-as-a-service als een van de top vijf-bedreigingen: “De mogelijkheden van cybercriminelen nemen nog steeds toe en om risico’s te reduceren, is een integrale en internationale aanpak noodzakelijk. Mede dankzij funding van het SIDN-fonds kunnen we in 2017 starten met de ontwikkeling van een security dashboard dat landen, overheden en organisaties inzicht geeft in actuele beveiligingslekken en hoe die kunnen worden gedicht.”
Het hele rapport is hier te downloaden
