Verantwoordelijke onthulling...

Verantwoordelijke onthullingen… Leuk als je Responsible Disclosure letterlijk vertaalt in het Nederlands. Maar is het nog leuk als je deze meldingen krijgt?

15 november 2018   |   Blog   |   Door: Conclusion

Deel

Paul Oor

Ik ben in ieder geval blij dat er genoeg professionals in de wereld zijn die erop kunnen vertrouwen dat wij verantwoordelijk met hun onthullingen omgaan.

Voor diegenen die het fenomeen nog niet kennen. Iedere dag zijn goedwillende amateurs en professionals als cybersecurity-onderzoeker op zoek naar kwetsbaarheden op het internet. Of lopen daar toevallig tegenaan… Als ze dit melden lopen ze het risico dat jouw organisatie daar melding van maakt bij de autoriteiten. Met dat risico in gedachten denken ze natuurlijk wel twee keer na om je op een kwetsbaarheid te wijzen. Je kunt op je website een verklaring plaatsten waarin je stelt dat je zo’n melding op prijs stelt en er goed mee omgaat. Zolang de ‘onderzoeker’ ook aan de spelregels houdt. Dan neemt de bereidheid om te melden snel toe, zeker als je die meldingen ook nog beloond!

Ik heb recent nog bemiddeld voor een collega die bij een andere organisatie een serieuze kwetsbaarheid aantrof. Maar terecht zeer terughoudend was deze te melden, hoewel hij het wel zijn ‘plicht’ vond die organisatie op de risico’s te wijzen. Die organisatie had echter geen verklaring en ook geen contactgegevens voor een dergelijke melding op de website staan. Interessante ervaring als je dan via een Servicedesk probeert contact te leggen voor de melding. Die situatie komt niet voor in hun ‘scripts’. Het kwam uiteindelijk goed; maar het was wel een kwestie van je je maatschappelijk verantwoordelijk voelen en de aanhouder wint…

"Het is kwetsbaarheid die vertrouwen haar waarde geeft."

Piero Ferrucci

Nederland loopt al jaren internationaal voorop bij deze aanpak.  Begin oktober zijn de richtlijnen en de naamgeving onder regie van het NCSC vernieuwd; Coordinated Vulnerability Disclosure (CVD). Conclusion hanteert deze aanpak ook al langer en wij hebben natuurlijk in oktober direct onze ‘kleine lettertjes’ ook aangepast.

Mooi zo’n verklaring; maar levert het ook wat op? Da’s natuurlijk een wat gênante discussie, een ‘inconvenient truth’. Wie geeft toe dat anderen kwetsbaarheden op jouw website vinden? Nou, ik wil best bevestigen dat wij regelmatig goede, waardevolle meldingen krijgen en ik ben er altijd blij mee!

Het is best lastig om alle kwetsbaarheden perfect af te dekken. Waar hard gewerkt wordt worden fouten gemaakt. En er duiken iedere dag wel ergens in de wereld nieuwe kwetsbaarheden op. Gelukkig hoor ik hetzelfde van collega Security Officers die bij organisaties werken die ook een CVD hanteren. Op die manier brengen we cybersecurity met z’n allen weer op een hoger niveau.

En wat is de relatie met de AVG? Nou, ik krijg regelmatig de vraag of een geconstateerde kwetsbaarheid een datalek is. In principe is dat niet het geval. Toch geef ik dat antwoord altijd met een kanttekening vanuit mijn rol als Security Officer. Als je een kwetsbaarheid constateert is het natuurlijk een goed idee om deze snel op te lossen. Maar ook om te onderzoeken hoe lang deze kwetsbaarheid al aanwezig was. En of er een reële kans is dat deze kwetsbaarheid is misbruikt; onderzoek van de logging dus… De uitkomst van zo’n onderzoek kan natuurlijk wel leiden tot het constateren van een datalek en mogelijk noodzaak tot melden…   

Kwetsbaarheden voorkomen en zo snel mogelijk oplossen is gegevensbescherming en heeft dus alles met de AVG te maken. Samenwerking met goedwillende onderzoekers blijkt in de praktijk heel erg nuttig. Dus ook al kost “Gecoördineerde Kwetsbaarheden Onthullingen” ons regelmatig een mooi T-shirt dat we richting de melder sturen; wij houden hem er zeker in!

In dat opzicht: je kwetsbaar opstellen om samen weerbaarder te worden!