Kwetsbaarheden in systemen melden.
Het komt geregeld voor dat een buitenstaander een kwetsbaarheid ontdekt in een dienst. Hierbij kun je denken aan het toegang krijgen tot bepaalde systemen, applicaties of informatie. Organisaties gaan hier op verschillende manieren mee om. Met een responsible disclosure-beleid nodig je de vinder uit om de gevonden kwetsbaarheden op een verantwoorde manier te melden.
Wat is Responsible Disclosure?
Bij responsible disclosure stelt de vinder van een kwetsbaarheid, de eigenaar van het kwetsbare systeem op een verantwoorde manier op de hoogte. Daarnaast werkt de vinder binnen de kaders die in het beleid zijn opgesteld. Het belangrijkste voordeel is dat je als organisatie de mogelijkheid hebt om daarna de kwetsbaarheid op te lossen, mogelijk zelfs in samenwerking met de melder.
Één van onze specialisten aan het woord:
“Nu steeds meer organisaties responsible disclosure hebben ingericht, is het aantrekkelijk om op een verantwoorde manier kwetsbaarheden te helpen zoeken. Ik doe dit veel in mijn vrije tijd en ben blij dat ik met mijn kennis bij kan dragen aan het verbeteren van hun beveiliging. Je merkt dat organisaties het op prijs stellen wanneer je een kwetsbaarheid meldt. Ze geven vaak een leuke goodie als beloning. De Nederlandse overheid gaf mij bijvoorbeeld dit T-shirt als bedankje”.
“Of deze onderscheiding in de vorm van een coi
“Niet alleen in Nederland zijn responsible disclosure’s in opkomst, ook in het buitenland wordt het preventief melden van kwetsbaarheden gewaardeerd, zoals in dit geval een gevonden SQL injectie bij de Universiteit van Harvard”.
Heeft u al een responsible disclosure-beleid ingericht?
Men helpt alleen met het zoeken naar kwetsbaarheden wanneer een goed responsible disclosure-beleid is opgesteld. Om er zeker van te zijn dat geen juridische gevolgen ontstaan als gevolg van hun bijdrage.
Voor het opstellen van een responsible disclosure-beleid zijn online handige hulpmiddelen beschikbaar. Cyberveilig Nederland heeft een stappenplan opgesteld over inrichting van responsible disclosure. Het NCSC heeft het “coordinated vulnerability disclosure” document gepubliceerd waarin voorbeeld teksten staan die u kunt gebruiken op uw website.
Meer weten over responsible disclosure of over hoe onze specialisten u kunnen helpen bij het verbeteren van uw digitale beveiliging? Neem contact op met RedTeam Cyber Security.
