• A
  • A
  • Te veel tijd tussen ontdekken en oplossen privacyproblemen

    - “Veel kwetsbaarheden zijn snel vindbaar en eenvoudig op te lossen”, vertelt Vincent Toms, medeoprichter van GDI Foundation tijdens de SURF Security- en Privacyconferentie op de Wageningen Universiteit.

    Het thema van de conferentie is dit jaar 'Open en veilig samenwerken', een vraagstuk waarop vanuit verschillende perspectieven over wordt gediscussieerd tijdens de tweedaagse congres. Toms is één van de sprekers en legt in zijn presentatie uit wat er is gebeurd sinds hij in 2016 de SURF Security Award won met zijn stichting.

    Kwetsbare Stemwijzer

    De GDI Foundation is een non-profitorganisatie die zoekt naar kwetsbaarheden in IT-systemen. Ze meldt deze via responsible disclosure (waarbij de betreffende organisatie vooraf de tijd krijgt om de problemen op te lossen) met als doel het internet veiliger te maken.

    Recent nog wees zijn organisatie de Stemwijzer op de manier waarop die omgaat met de privacy van gebruikers. Op de site waren meerdere trackers actief die tijdens het invullen meekijken. Bovendien was de tussenstand van de kieshulp die werd bijgehouden relatief gemakkelijk te achterhalen. “Je zou verwachten dat als je de Stemwijzer wijst op hun probleem dat ze het dan meteen oplossen. Ik kan u vertellen: dat is niet geval”, aldus Toms.  

    Inmiddels heeft Stemwijzer de problemen aangepakt, maar het is zeker niet de enige organisatie waar het lang duurt voordat de problemen worden aangepakt en/of opgelost. Toms: “De gemiddelde oplostijd is 10,8 dagen. Een van de belangrijkste lessons learned van het afgelopen jaar is dat de tijdslijn tussen ontdekken en oplossen veel te lang is.”

    Goede intenties

    Tijdens de conferentie is ruim aandacht voor juridische aspecten rondom privacy en internetveiligheid. Veel wetgeving is gedateerd en niet aangepast op het huidige tijdsgewricht waarin online privacy en veiligheid van individuen moeten worden gewaarborgd, constateerde onder meer Jan Smits, hoogleraar Law and Technology aan de TU Eindhoven.  

    Ook Toms ervaart dergelijke problemen, maar dan op een ander vlak. Hoewel hij werkt als ethisch hacker en op basis van responsible disclosure kan ook hij strafrechtelijke problemen krijgen als gevolg van zijn werk. “Wij halen overal ter wereld data binnen. Dat doen we met goede intenties, om te zeggen: ‘je huis staat in brand’. Maar juridisch gezien maakt dat niks uit.”