SlideShare a Scribd company logo

HSB15 - Dr. Michel van Eeten - TU Delft

Splend
Splend

Jouw lek, mijn data. Wat doen we als de beheerder van de data niet de schade draagt voor de diefstal ervan? Dr. Michel van Eeten TU Delft Holland Strikes Back 2015

Technology
1 of 10
Download to read offline
1 Jouw lek, mijn data Don’t strike back, fix the incentives Michel van Eeten Technische Universiteit Delft
2
3 • Wat hebben ze gemeen? • Bezwerende antwoorden van de organisaties wier beveiliging heeft gefaald • Die organisaties functioneren verder, geen aantoonbaar effect op klandizie, omzet, beurskoers • De gevolgen belanden bij ‘derden’, de mensen op wie de data betrekking heeft Grootste hacks 2015
4 • Afpersing, reputatieschade (Ashley Madison) • Betalingsfraude (Target, Home Depot) • Identiteitsfraude (Experian, IRS) • Privacy-verlies (Anthem, OPM) • Staatsveiligheid (Hacking Team) • Onbekend (JP Morgan, …) Grootste hacks 2015
5 • Probleem is niet dat hack plaatsvindt, dat risico is er altijd • Probleem is dat de incentives niet deugen: partij die moet beveiligen draagt niet de gevolgen van het falen • Dat leidt tot onder-beveiliging • Meer hacks dan nodig en schade bij derden die risico niet zelf kunnen verkleinen ‘It’s all about incentives’
6 • Zorg dat schade terecht komt bij veroorzaker (‘vervuiler betaalt’) • Hoe? • Civielrechtelijke aansprakelijkheid • Intermediaire aansprakelijkheid • Bestuursrechtelijke vervolging • Strafrechtelijke vervolging • Meldplicht • … Wat doe je er aan?
7 • Zorg dat schade terecht komt bij veroorzaker (‘vervuiler betaalt’) • Hoe? • Civielrechtelijke aansprakelijkheid • Intermediaire aansprakelijkheid • Bestuursrechtelijke vervolging • Strafrechtelijke vervolging • Meldplicht • … Wat doe je er aan?
8 • Verbeter civielrechtelijke aansprakelijkheid: verlaag bewijslast voor derden • Voorbeeld: EU richtlijn PSD2 vereist banken binnen 24 uur schade te vergoeden bij fraude en legt bewijslast bij banken Wat doe je er aan?
9 • Verbeter intermediaire aansprakelijkheid: stimuleer dat sterke partijen in de keten aansprakelijkheid nemen • Voorbeeld: Google oefent druk uit op operators die Android niet patchen. PayPal heeft een “Head of Ecosystem Security” die de hele keten mobiliseert Wat doe je er aan?
Fix the incentives Trent Adams: “It's much more about relationships than it is about anything else.”

Recommended

Tbebi.
Tbebi.Tbebi.
Tbebi.
marine2109
 
Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...
Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...
Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...
Bruno Pina
 
HTML
HTMLHTML
HTML
andre rossiter
 
Rse unidad i
Rse unidad iRse unidad i
Rse unidad i
Erika Barajas Leyva
 
El sistema solar
El sistema solarEl sistema solar
El sistema solar
joportelam
 
Clase INFO
Clase INFOClase INFO
Clase INFO
carlitaabc
 
áRea de projecto
áRea de projectoáRea de projecto
áRea de projecto
AP20107c
 
HSB15 - Lennert den Teuling - ISPConnect
HSB15 - Lennert den Teuling - ISPConnectHSB15 - Lennert den Teuling - ISPConnect
HSB15 - Lennert den Teuling - ISPConnect
Splend
 

Recommended

Tbebi.
Tbebi.Tbebi.
Tbebi.
marine2109
 
Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...
Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...
Matos et al.2010 sistemas de falhas de afloramentos do triásico superior na r...
Bruno Pina
 
HTML
HTMLHTML
HTML
andre rossiter
 
Rse unidad i
Rse unidad iRse unidad i
Rse unidad i
Erika Barajas Leyva
 
El sistema solar
El sistema solarEl sistema solar
El sistema solar
joportelam
 
Clase INFO
Clase INFOClase INFO
Clase INFO
carlitaabc
 
áRea de projecto
áRea de projectoáRea de projecto
áRea de projecto
AP20107c
 
HSB15 - Lennert den Teuling - ISPConnect
HSB15 - Lennert den Teuling - ISPConnectHSB15 - Lennert den Teuling - ISPConnect
HSB15 - Lennert den Teuling - ISPConnect
Splend
 
Jailbreak do Playstation 3
Jailbreak do Playstation 3Jailbreak do Playstation 3
Jailbreak do Playstation 3
TioSolid
 
რასობრივი სტრუქტურ
რასობრივი სტრუქტურრასობრივი სტრუქტურ
რასობრივი სტრუქტურ
marine2109
 
Habilidad operativa
Habilidad operativaHabilidad operativa
Habilidad operativa
JENNER HUAMAN
 
წიაღისეული.
წიაღისეული.წიაღისეული.
წიაღისეული.
marine2109
 
DATA Types
DATA TypesDATA Types
DATA Types
Aniruddha Deshmukh
 
HSB15 - Thijs Bosschert - Radically Open Security
HSB15 - Thijs Bosschert - Radically Open SecurityHSB15 - Thijs Bosschert - Radically Open Security
HSB15 - Thijs Bosschert - Radically Open Security
Splend
 
Evolución de-la-web
Evolución de-la-webEvolución de-la-web
Evolución de-la-web
alexis caicedo
 
Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineering
Rob van Hees
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT Services
Jochen den Ouden
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Dennis Koorn
 
Influencer relaties voor Online Tuesday
Influencer relaties voor Online TuesdayInfluencer relaties voor Online Tuesday
Influencer relaties voor Online Tuesday
Gijs Moonen
 
Space Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scamsSpace Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scams
SOCIALware Benelux
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet in
Sebyde
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrimeJohn van Hoften
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
Roger Losekoot RADI®
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
Symantec
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
Suprida
 
Cyber verzekeringen
Cyber verzekeringenCyber verzekeringen
Cyber verzekeringen
drs. Sjaak Schouteren SMP
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime
Rick van der Kleij
 
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Rick van der Kleij
 
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Aon Nederland
 

More Related Content

Viewers also liked

Jailbreak do Playstation 3
Jailbreak do Playstation 3Jailbreak do Playstation 3
Jailbreak do Playstation 3
TioSolid
 
რასობრივი სტრუქტურ
რასობრივი სტრუქტურრასობრივი სტრუქტურ
რასობრივი სტრუქტურ
marine2109
 
Habilidad operativa
Habilidad operativaHabilidad operativa
Habilidad operativa
JENNER HUAMAN
 
წიაღისეული.
წიაღისეული.წიაღისეული.
წიაღისეული.
marine2109
 
DATA Types
DATA TypesDATA Types
DATA Types
Aniruddha Deshmukh
 
HSB15 - Thijs Bosschert - Radically Open Security
HSB15 - Thijs Bosschert - Radically Open SecurityHSB15 - Thijs Bosschert - Radically Open Security
HSB15 - Thijs Bosschert - Radically Open Security
Splend
 
Evolución de-la-web
Evolución de-la-webEvolución de-la-web
Evolución de-la-web
alexis caicedo
 

Viewers also liked (7)

Jailbreak do Playstation 3
Jailbreak do Playstation 3Jailbreak do Playstation 3
Jailbreak do Playstation 3
 
რასობრივი სტრუქტურ
რასობრივი სტრუქტურრასობრივი სტრუქტურ
რასობრივი სტრუქტურ
 
Habilidad operativa
Habilidad operativaHabilidad operativa
Habilidad operativa
 
წიაღისეული.
წიაღისეული.წიაღისეული.
წიაღისეული.
 
DATA Types
DATA TypesDATA Types
DATA Types
 
HSB15 - Thijs Bosschert - Radically Open Security
HSB15 - Thijs Bosschert - Radically Open SecurityHSB15 - Thijs Bosschert - Radically Open Security
HSB15 - Thijs Bosschert - Radically Open Security
 
Evolución de-la-web
Evolución de-la-webEvolución de-la-web
Evolución de-la-web
 

Similar to HSB15 - Dr. Michel van Eeten - TU Delft

Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineering
Rob van Hees
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT Services
Jochen den Ouden
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Dennis Koorn
 
Influencer relaties voor Online Tuesday
Influencer relaties voor Online TuesdayInfluencer relaties voor Online Tuesday
Influencer relaties voor Online Tuesday
Gijs Moonen
 
Space Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scamsSpace Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scams
SOCIALware Benelux
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet in
Sebyde
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
Roger Losekoot RADI®
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
Symantec
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
Suprida
 
Cyber verzekeringen
Cyber verzekeringenCyber verzekeringen
Cyber verzekeringen
drs. Sjaak Schouteren SMP
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime
Rick van der Kleij
 
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Rick van der Kleij
 
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Aon Nederland
 

Similar to HSB15 - Dr. Michel van Eeten - TU Delft (15)

Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineering
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT Services
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
 
Influencer relaties voor Online Tuesday
Influencer relaties voor Online TuesdayInfluencer relaties voor Online Tuesday
Influencer relaties voor Online Tuesday
 
Space Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scamsSpace Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scams
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet in
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrime
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
 
Cyber verzekeringen
Cyber verzekeringenCyber verzekeringen
Cyber verzekeringen
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime
 
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag
 
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
Whitepaper 'Cyberrisico's onder controle? Risicomanagement in het digitale ti...
 

More from Splend

Fiber Vakdag 2019 - Gerben Roseboom - MapXact
Fiber Vakdag 2019 - Gerben Roseboom - MapXactFiber Vakdag 2019 - Gerben Roseboom - MapXact
Fiber Vakdag 2019 - Gerben Roseboom - MapXact
Splend
 
Fiber Vakdag 2019 - Lex Wils - FCA
Fiber Vakdag 2019 - Lex Wils - FCAFiber Vakdag 2019 - Lex Wils - FCA
Fiber Vakdag 2019 - Lex Wils - FCA
Splend
 
Martin Pels - NLNog ring
Martin Pels - NLNog ringMartin Pels - NLNog ring
Martin Pels - NLNog ring
Splend
 
Wido den Hollander - IPv6
Wido den Hollander - IPv6Wido den Hollander - IPv6
Wido den Hollander - IPv6
Splend
 
Pim van Stam - BGP
Pim van Stam - BGPPim van Stam - BGP
Pim van Stam - BGP
Splend
 
Bart Lageweg - Ansible/Cobbler
Bart Lageweg - Ansible/CobblerBart Lageweg - Ansible/Cobbler
Bart Lageweg - Ansible/Cobbler
Splend
 
6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties
6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties
6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties
Splend
 
HSB15 - Xander Jansen - SURFnet
HSB15 - Xander Jansen - SURFnetHSB15 - Xander Jansen - SURFnet
HSB15 - Xander Jansen - SURFnet
Splend
 
HSB15 - 0xDUDE
HSB15 - 0xDUDEHSB15 - 0xDUDE
HSB15 - 0xDUDE
Splend
 
HSB15 - Pavel Minarik - INVEATECH
HSB15 - Pavel Minarik - INVEATECHHSB15 - Pavel Minarik - INVEATECH
HSB15 - Pavel Minarik - INVEATECH
Splend
 
HSB15 - Aiko Pras - TU Twente
HSB15 - Aiko Pras - TU TwenteHSB15 - Aiko Pras - TU Twente
HSB15 - Aiko Pras - TU Twente
Splend
 
HSB15 - Richard Bosboom - HackerOne
HSB15 - Richard Bosboom - HackerOneHSB15 - Richard Bosboom - HackerOne
HSB15 - Richard Bosboom - HackerOne
Splend
 
DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?
DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?
DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?
Splend
 
DHPA Techday 2015 - Patrick Savalle - Disruptive Technology
DHPA Techday 2015 - Patrick Savalle - Disruptive TechnologyDHPA Techday 2015 - Patrick Savalle - Disruptive Technology
DHPA Techday 2015 - Patrick Savalle - Disruptive Technology
Splend
 
DHPA Techday 2015 - Ger Apeldoorn - Deep dive into Puppet
DHPA Techday 2015 - Ger Apeldoorn - Deep dive into PuppetDHPA Techday 2015 - Ger Apeldoorn - Deep dive into Puppet
DHPA Techday 2015 - Ger Apeldoorn - Deep dive into Puppet
Splend
 
DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...
DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...
DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...
Splend
 
DHPA Techday 2015 - Johan Benning - HP Mobility
DHPA Techday 2015 - Johan Benning - HP MobilityDHPA Techday 2015 - Johan Benning - HP Mobility
DHPA Techday 2015 - Johan Benning - HP Mobility
Splend
 
DHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC College
DHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC CollegeDHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC College
DHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC College
Splend
 
DHPA Techday 2015 - Marc Gauw - Trusted Networks Initiative
DHPA Techday 2015 - Marc Gauw - Trusted Networks InitiativeDHPA Techday 2015 - Marc Gauw - Trusted Networks Initiative
DHPA Techday 2015 - Marc Gauw - Trusted Networks Initiative
Splend
 
HSB - DDoS Threats and Trends - Gurdeep Dhillon
HSB - DDoS Threats and Trends - Gurdeep DhillonHSB - DDoS Threats and Trends - Gurdeep Dhillon
HSB - DDoS Threats and Trends - Gurdeep Dhillon
Splend
 

More from Splend (20)

Fiber Vakdag 2019 - Gerben Roseboom - MapXact
Fiber Vakdag 2019 - Gerben Roseboom - MapXactFiber Vakdag 2019 - Gerben Roseboom - MapXact
Fiber Vakdag 2019 - Gerben Roseboom - MapXact
 
Fiber Vakdag 2019 - Lex Wils - FCA
Fiber Vakdag 2019 - Lex Wils - FCAFiber Vakdag 2019 - Lex Wils - FCA
Fiber Vakdag 2019 - Lex Wils - FCA
 
Martin Pels - NLNog ring
Martin Pels - NLNog ringMartin Pels - NLNog ring
Martin Pels - NLNog ring
 
Wido den Hollander - IPv6
Wido den Hollander - IPv6Wido den Hollander - IPv6
Wido den Hollander - IPv6
 
Pim van Stam - BGP
Pim van Stam - BGPPim van Stam - BGP
Pim van Stam - BGP
 
Bart Lageweg - Ansible/Cobbler
Bart Lageweg - Ansible/CobblerBart Lageweg - Ansible/Cobbler
Bart Lageweg - Ansible/Cobbler
 
6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties
6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties
6projects - Eyle Brinkhuis - SURFnet - Virtuele Netwerkfuncties
 
HSB15 - Xander Jansen - SURFnet
HSB15 - Xander Jansen - SURFnetHSB15 - Xander Jansen - SURFnet
HSB15 - Xander Jansen - SURFnet
 
HSB15 - 0xDUDE
HSB15 - 0xDUDEHSB15 - 0xDUDE
HSB15 - 0xDUDE
 
HSB15 - Pavel Minarik - INVEATECH
HSB15 - Pavel Minarik - INVEATECHHSB15 - Pavel Minarik - INVEATECH
HSB15 - Pavel Minarik - INVEATECH
 
HSB15 - Aiko Pras - TU Twente
HSB15 - Aiko Pras - TU TwenteHSB15 - Aiko Pras - TU Twente
HSB15 - Aiko Pras - TU Twente
 
HSB15 - Richard Bosboom - HackerOne
HSB15 - Richard Bosboom - HackerOneHSB15 - Richard Bosboom - HackerOne
HSB15 - Richard Bosboom - HackerOne
 
DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?
DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?
DHPA Techday 2015 - Patrick Savalle - Are you out of your mind?
 
DHPA Techday 2015 - Patrick Savalle - Disruptive Technology
DHPA Techday 2015 - Patrick Savalle - Disruptive TechnologyDHPA Techday 2015 - Patrick Savalle - Disruptive Technology
DHPA Techday 2015 - Patrick Savalle - Disruptive Technology
 
DHPA Techday 2015 - Ger Apeldoorn - Deep dive into Puppet
DHPA Techday 2015 - Ger Apeldoorn - Deep dive into PuppetDHPA Techday 2015 - Ger Apeldoorn - Deep dive into Puppet
DHPA Techday 2015 - Ger Apeldoorn - Deep dive into Puppet
 
DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...
DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...
DHPA Techday 2015 - Maciej Korczyński - Reputation Metrics Design to Improve ...
 
DHPA Techday 2015 - Johan Benning - HP Mobility
DHPA Techday 2015 - Johan Benning - HP MobilityDHPA Techday 2015 - Johan Benning - HP Mobility
DHPA Techday 2015 - Johan Benning - HP Mobility
 
DHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC College
DHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC CollegeDHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC College
DHPA Techday 2015 - Arjen Zonneveld - Jelte Jansen - DNSSEC College
 
DHPA Techday 2015 - Marc Gauw - Trusted Networks Initiative
DHPA Techday 2015 - Marc Gauw - Trusted Networks InitiativeDHPA Techday 2015 - Marc Gauw - Trusted Networks Initiative
DHPA Techday 2015 - Marc Gauw - Trusted Networks Initiative
 
HSB - DDoS Threats and Trends - Gurdeep Dhillon
HSB - DDoS Threats and Trends - Gurdeep DhillonHSB - DDoS Threats and Trends - Gurdeep Dhillon
HSB - DDoS Threats and Trends - Gurdeep Dhillon
 

HSB15 - Dr. Michel van Eeten - TU Delft

  • 1. 1 Jouw lek, mijn data Don’t strike back, fix the incentives Michel van Eeten Technische Universiteit Delft
  • 2. 2
  • 3. 3 • Wat hebben ze gemeen? • Bezwerende antwoorden van de organisaties wier beveiliging heeft gefaald • Die organisaties functioneren verder, geen aantoonbaar effect op klandizie, omzet, beurskoers • De gevolgen belanden bij ‘derden’, de mensen op wie de data betrekking heeft Grootste hacks 2015
  • 4. 4 • Afpersing, reputatieschade (Ashley Madison) • Betalingsfraude (Target, Home Depot) • Identiteitsfraude (Experian, IRS) • Privacy-verlies (Anthem, OPM) • Staatsveiligheid (Hacking Team) • Onbekend (JP Morgan, …) Grootste hacks 2015
  • 5. 5 • Probleem is niet dat hack plaatsvindt, dat risico is er altijd • Probleem is dat de incentives niet deugen: partij die moet beveiligen draagt niet de gevolgen van het falen • Dat leidt tot onder-beveiliging • Meer hacks dan nodig en schade bij derden die risico niet zelf kunnen verkleinen ‘It’s all about incentives’
  • 6. 6 • Zorg dat schade terecht komt bij veroorzaker (‘vervuiler betaalt’) • Hoe? • Civielrechtelijke aansprakelijkheid • Intermediaire aansprakelijkheid • Bestuursrechtelijke vervolging • Strafrechtelijke vervolging • Meldplicht • … Wat doe je er aan?
  • 7. 7 • Zorg dat schade terecht komt bij veroorzaker (‘vervuiler betaalt’) • Hoe? • Civielrechtelijke aansprakelijkheid • Intermediaire aansprakelijkheid • Bestuursrechtelijke vervolging • Strafrechtelijke vervolging • Meldplicht • … Wat doe je er aan?
  • 8. 8 • Verbeter civielrechtelijke aansprakelijkheid: verlaag bewijslast voor derden • Voorbeeld: EU richtlijn PSD2 vereist banken binnen 24 uur schade te vergoeden bij fraude en legt bewijslast bij banken Wat doe je er aan?
  • 9. 9 • Verbeter intermediaire aansprakelijkheid: stimuleer dat sterke partijen in de keten aansprakelijkheid nemen • Voorbeeld: Google oefent druk uit op operators die Android niet patchen. PayPal heeft een “Head of Ecosystem Security” die de hele keten mobiliseert Wat doe je er aan?
  • 10. Fix the incentives Trent Adams: “It's much more about relationships than it is about anything else.”