Responsible Disclosure

Heeft u een responsible disclosure melding ontvangen van Baaten ICT Security? Mogelijk weet u al wat dit inhoudt en grijpt u deze gelegenheid aan om uw informatiebeveiliging te verbeteren, maar misschien had u er nog nooit van gehoord en bent u ervan geschrokken. Geen paniek, er zijn geen kwade bedoelingen in het spel. Hieronder vindt u meer informatie.

Baaten ICT Security meldt regelmatig op eigen initiatief beveiligingskwetsbaarheden bij organisaties. Dit gebeurt volgens een zogenaamde responsible disclosure procedure. De insteek van responsible disclosure is dat beveiligingsproblemen op een verantwoorde manier worden gemeld bij een organisatie, zodat niet meteen alle details van de kwetsbaarheid (en daarmee mogelijk ook vertrouwelijke of privacygevoelige gegevens) op straat komen te liggen. De organisatie heeft dan de gelegenheid om de kwetsbaarheid te verhelpen, en pas daarna maakt de beveiligingsonderzoeker (na overleg) zijn ontdekking bekend. Op deze manier wordt voorkomen dat de organisatie schade oploopt als gevolg van misbruik door kwaadwillenden. Belangrijk voor de beveiligingsonderzoeker is dat een responsible disclosure beleid van een organisatie het voornemen uitspreek om de eerlijke melder niet juridisch te vervolgen.

Zoals beschreven op responsibledisclosure.nl is de diepere achterliggende reden achter het ontstaan van responsible disclosure “het wederzijdse gebrek aan vertrouwen tussen veel hackers met goede bedoelingen en instellingen met lekke systemen”. Ook de Nederlandse overheid erkent dat een “samenwerking van publieke en private partijen met de ICT-security-community van het grootste belang is in het kader van het gezamenlijke streven naar cyber security”. Daarom is er begin 2013 door het Nationaal Cyber Security Center (NCSC) een leidraad responsible disclosure opgesteld die organisaties kunnen gebruiken voor het opstellen van hun eigen responsible disclosure beleid. Er zijn inmiddels verschillende organisaties die een responsible disclosure beleid op hun website publiceren.

Veel gestelde vragen over responsible disclosure

  • Is Baaten ICT Security van plan om onze kwetsbaarheid te publiceren?
    Niet over alle responsible disclosure meldingen wordt gepubliceerd, maar in sommige gevallen is deze wens wel aanwezig. Wanneer uw naam of de naam van uw organisatie wordt genoemd, wordt u vooraf geïnformeerd over het voornemen tot publicatie.
  • Waarom zoekt Baaten ICT Security naar kwetsbaarheden op onze informatiesystemen?
    Door beveiligingskwetsbaarheden op verantwoorde wijze te melden bij organisaties, draagt Baaten ICT Security bij aan een veiligere wereld. De gevolgen van misbruik van informatiesystemen door kwaadwillende kunnen behoorlijk zijn, en we dragen allemaal een verantwoordelijkheid om het kwaadwillenden zo moeilijk mogelijk te maken. Daarnaast is het ook nog eens een hele leuke manier om nieuwe mensen te leren kennen.
  • Hoe komt Baaten ICT Security bij ons terecht?
    Daar is niet altijd een heldere verklaring voor. Soms naar aanleiding van een bericht uit het relatienetwerk, of vanuit een eigen ervaring als gebruiker, maar vaak is het gewoon willekeurig.
  • Is een responsible disclosure juridisch waterdicht?
    Nee, er zijn geen garanties. Wettelijk gezien is een responsible disclosure dus een grijs gebied. Dit in tegenstelling tot beveiligingsonderzoek in opdracht, waarbij een opdrachtgever middels een vrijwaringsverklaring (ook pentest waiver genoemd) expliciet verklaart akkoord te zijn met het binnendringen of onderzoeken van computersystemen door de beveiligingsonderzoeker. Bij een responsible disclosure kan een organisatie dus altijd besluiten tot het doen van aangifte tegen een beveiligingsonderzoeker. Feitelijk gezien is het op eigen initiatief melden van kwetsbaarheden zonder opdracht dus een risico. Inbreken op computersystemen is immers strafbaar. Los van de ruimte die dan nog zit rond het woord ‘inbreken’, hoopt Baaten ICT Security dat organisaties passend (lees: conform leidraad responsible disclosure) reageren op goede intenties van beveiligingsonderzoekers.

Wanneer u nog vragen, neemt u dan contact op.

Responsible Disclosures

41

Ontvangen reacties

“Heel erg bedankt voor het melden, we gaan er meteen mee aan de slag.”

“Ik schrik hiervan. We werken met gerenommeerde leveranciers. Ik dacht dat zij hun beveiliging wel op orde hadden.”

“Ik zat er niet op te wachten, maar ik wil er ook niet mijn kop voor in het zand steken. Toch bedankt!”

“Nooit geweten dat dit te configureren was, ik dacht dat dit standaard door de software werd geregeld.”

“Onze leverancier geeft aan het probleem te hebben verholpen, kun je dit bevestigen?”