Aan de slag met responsible disclosure-beleid
Ga je aan de slag met het responsible disclosure-beleid van je organisatie? Dan zijn er een aantal belangrijke zaken die je voor de vinder, maar ook binnen je organisatie moet vaststellen. Hieronder een aantal praktische tips of overwegingen die je daarbij kunnen helpen.
-
Maak het vinders gemakkelijk om kwetsbaarheden te melden
Zorg ervoor dat het gemakkelijk is om kwetsbaarheden bij jouw organisatie te melden. Dit kun je doen door hiervoor een webformulier beschikbaar te stellen of een vast e-mailadres waarop kwetsbaarheden gemeld kunnen worden. Laat deze duidelijk zien op je bedrijfswebsite zodat kwetsbaarheden snel en zonder veel moeite gemeld kunnen worden. Houdt er overigens wel rekening mee dat het meldformulier en/of e-mailadres dagelijks gecontroleerd wordt, het liefst door een vaste werknemer binnen je bedrijf.
-
Gebruik security.txt
Om snel en discreet op de hoogte te worden gesteld van een beveiligingslekken, wordt aangeraden om gebruik te maken van security.txt. Door het toevoegen van een klein tekstbestand op jouw webserver geef je aan hoe en waar informatie te vinden is om een kwetsbaarheid te melden.
-
Laat duidelijk zien wat je van de vinder verwacht en aan welke vereisten een melding van een kwetsbaarheid moet voldoen
Binnen het responsible disclosure-beleid is het van groot belang dat je aangeeft op welke manier de vinder een kwetsbaarheid kan melden. Dit kun je doen door:
- Duidelijk te omschrijven hoe en op welke manier je gecontacteerd wilt worden (bijvoorbeeld via een webformulier of versleutelde e-mail middels PGP of S/MIME).
- Welke informatie in de melding moet worden opgenomen
- Wat de vinder van de kwetsbaarheid mag verwachten en wat er vervolgens met de melding gebeurt
Organiseer afhandeling van meldingen
Ook is het belangrijk om binnen je organisatie een aantal punten te organiseren. Kwetsbaarheidsmeldingen moeten immers snel en en zorgvuldig worden behandeld.
-
Inventariseer systemen en noteer contactgegevens van leveranciers
Wanneer er een beveiligingslek wordt gemeld bij je organisatie is het erg belangrijk dat je een actueel en helder overzicht hebt van systemen die je gebruikt. Noteer daarbij de contactgegevens van de leveranciers en ook welke IT-dienstverleners een mogelijke rol kunnen spelen.
-
Zorg voor genoeg draagvlak binnen je organisatie voor het RD-beleid
De effectiviteit van het responsible disclosure-beleid hangt af van de mate waarin de aanpak gedragen is binnen jouw organisatie. Bepaal daarom bijvoorbeeld wie binnen het management een rol heeft en mandaat heeft. Vergeet ook vooral niet om de afdelingen communicatie en juridische zaken mee te nemen bij het opstellen van het beleid. Het niet goed afhandelen van meldingen kan namelijk tot imagoschade leiden en/of juridische gevolgen hebben.
-
Bepaal wie de afhandeling van meldingen doet
Bepaal of je zelf de binnengekomen kwetsbaarheden kan/wil beoordelen en behandelen of dat je dit door een externe partij moet laten uitvoeren.
-
Test je RD-beleid om te achterhalen of de procedures naar behoren werken
Tot slot is het belangrijk om je vastgestelde responsible disclosure-beleid te testen. Op die manier kom je er achter of alle procedures naar behoren werken, of binnengekomen meldingen tijdig worden opgepakt en je kunt waar nodig het beleid tijdig bijsturen.
Meer informatie
Ook zijn er meerdere online handige hulpmiddelen beschikbaar. Zo heeft Cyberveilig Nederland een handig stappenplan opgesteld om zelf op een succesvolle manier een verantwoord openbaarmaking beleid in te zetten. Het Nationaal Cyber Security Center (NCSC) heeft een document gepubliceerd over Coordinated Vulnerability Disclosure (CVD). Al geruime tijd voert het NCSC een beleid voor CVD. Dit beleid stond voorheen ook bekend als responsible disclosure. In dit document geven zij onder andere meer informatie en voorbeelden van teksten die bedrijven gebruiken op hun website.
Uitgeschreven tekst
Een Responsible Disclosure-beleid in 5 stappen
- Maak afspraken over wie waar verantwoordelijk voor is. Vergeet hierbij het management niet;
- Maak een lijst van belangrijke IT-systemen en leveranciers;
- Gebruik security.txt om aan te geven waar kwetsbaarheden gemeld moeten worden;
- Maak werkafspraken over hoe je omgaat met meldingen;
- Ga aan de slag! En blijf testen of je responsible disclosure-beleid werkt.