Coordinated Vulnerability Disclosure

Heeft u een coordinated vulnerability disclosure (CVD) (voorheen een responsible disclosure) melding ontvangen van Baaten ICT Security? Mogelijk weet u al wat dit inhoudt en grijpt u deze gelegenheid aan om uw informatiebeveiliging te verbeteren, maar misschien had u er nog nooit van gehoord en bent u ervan geschrokken. Geen paniek, er zijn geen kwade bedoelingen in het spel. Hieronder vindt u meer informatie.

Baaten ICT Security meldt regelmatig op eigen initiatief beveiligingskwetsbaarheden bij organisaties. Dit gebeurt volgens een zogenaamde responsible disclosure procedure. De insteek van responsible disclosure is dat beveiligingsproblemen op een verantwoorde manier worden gemeld bij een organisatie, zodat niet meteen alle details van de kwetsbaarheid (en daarmee mogelijk ook vertrouwelijke of privacygevoelige gegevens) op straat komen te liggen. De organisatie heeft dan de gelegenheid om de kwetsbaarheid te verhelpen, en pas daarna maakt de beveiligingsonderzoeker (na overleg) zijn ontdekking bekend. Op deze manier wordt voorkomen dat de organisatie schade oploopt als gevolg van misbruik door kwaadwillenden. Belangrijk voor de beveiligingsonderzoeker is dat het CVD beleid van een organisatie het voornemen uitspreek om de eerlijke melder niet juridisch te vervolgen.

Zoals beschreven op responsibledisclosure.nl is de diepere achterliggende reden achter het ontstaan van responsible disclosure “het wederzijdse gebrek aan vertrouwen tussen veel hackers met goede bedoelingen en instellingen met lekke systemen”. De Nederlandse overheid erkende al in 2013 dat een “samenwerking van publieke en private partijen met de ICT-security-community van het grootste belang is in het kader van het gezamenlijke streven naar cyber security”. Het Nationaal Cyber Security Center (NCSC) heeft daarom een beleid voor Coordinated Vulnerability Disclosure (voorheen ‘leidraad responsible disclosure’) opgesteld voor organisaties hun eigen CVD beleid willen opstellen. Er zijn inmiddels verschillende organisaties die een responsible disclosure beleid op hun website publiceren.

Veel gestelde vragen over responsible disclosure

• Is Baaten ICT Security van plan om onze kwetsbaarheid te publiceren?
  Niet over alle responsible disclosure meldingen wordt gepubliceerd, maar in sommige gevallen is deze wens wel aanwezig. Wanneer uw naam of de naam van uw organisatie wordt genoemd, wordt u vooraf geïnformeerd over het voornemen tot publicatie.

• Waarom zoekt Baaten ICT Security naar kwetsbaarheden op onze informatiesystemen?
  Door beveiligingskwetsbaarheden op verantwoorde wijze te melden bij organisaties, draagt Baaten ICT Security bij aan een veiligere wereld. De gevolgen van misbruik van informatiesystemen door kwaadwillende kunnen behoorlijk zijn, en we dragen allemaal een verantwoordelijkheid om het kwaadwillenden zo moeilijk mogelijk te maken. Daarnaast is het ook nog eens een hele leuke manier om nieuwe mensen te leren kennen.

• Hoe komt Baaten ICT Security bij ons terecht?
  Dat kan verschillende redenen hebben. Bijvoorbeeld omdat de professionele nieuwsgierigheid van Baaten ICT Security niet kon worden onderdrukt bij het bezoeken van uw website. Maar soms ook naar aanleiding van een bericht uit ons relatienetwerk, of recente media aandacht voor een specifieke kwetsbaarheid.

• Is een responsible disclosure juridisch waterdicht?
  Nee, er zijn geen garanties. Wettelijk gezien is een responsible disclosure dus een grijs gebied. Dit in tegenstelling tot beveiligingsonderzoek in opdracht, waarbij een opdrachtgever middels een vrijwaringsverklaring (ook pentest waiver genoemd) expliciet verklaart akkoord te zijn met het binnendringen of onderzoeken van computersystemen door de beveiligingsonderzoeker. Bij een responsible disclosure kan een organisatie dus altijd besluiten tot het doen van aangifte tegen een beveiligingsonderzoeker. Feitelijk gezien is het op eigen initiatief melden van kwetsbaarheden zonder opdracht dus een risico. Inbreken op computersystemen is immers strafbaar. Los van de ruimte die dan nog zit rond het woord ‘inbreken’, hoopt Baaten ICT Security dat organisaties passend (lees: conform CVD beleid van het NCSC) reageren op goede intenties van beveiligingsonderzoekers.

Heeft u nog vragen? Neem dan vrijblijvend contact op.