Belang van responsible disclosure

Het komt regelmatig voor dat een beveiligingsonderzoeker, organisatie of een toevallige bezoeker een fout of kwetsbaarheid ontdekt in een product of een dienst. Hierbij kan je denken aan het toegang krijgen tot bepaalde systemen, applicaties of informatie waartoe zij eigenlijk geen toegang zouden mogen hebben. Er zijn verschillende manieren waarop de vinder hier mee om kan gaan. Met een responsible disclosure-beleid nodig je de vinder van een kwetsbaarheid uit om de gevonden kwetsbaarheden te melden. Hierdoor heb je de tijd het probleem op te lossen, voordat informatie over de kwetsbaarheid openbaar gemaakt wordt.

Verschillende type disclosures

Wanneer iemand een kwetsbaarheid vindt, kan de vinder hier op verschillende manieren mee om gaan. Bij een zogenaamde full disclosure (volledige openbaarmaking) maakt de vinder van een kwetsbaarheid direct publiekelijk bekend dat er een kwetsbaarheid in jouw website zit. Dit is ongewenst, omdat kwaadwillende hackers dan misbruik van de kwetsbaarheid kunnen maken. Bij een non disclosure (geen openbaarmaking) vertelt de vinder niemand over het lek, met als nadeel dat je zelf niet op de hoogte bent van een kwetsbaarheid en het probleem dus ook niet kan verhelpen. Een goede middenweg is responsible disclosure (verantwoorde openbaarmaking).

Wat is responsible disclosure?

Bij responsible disclosure stelt de vinder van een kwetsbaarheid de eigenaar van het kwetsbare systeem op een verantwoorde manier op de hoogte, voordat deze de kwetsbaarheid publiekelijk deelt. Het belangrijkste voordeel is dat je als ondernemer tijd krijgt om de kwetsbaarheid op te lossen, mogelijk zelfs in samenwerking met de melder. Vervolgens wordt informatie over de kwetsbaarheid openbaar gemaakt. Deze vorm van openbaarmaking heeft nadrukkelijk de voorkeur boven de full disclosure of non disclosure. 

Het doel van responsible disclosure

Het doel van responsible disclosure is het op een verantwoorde manier delen van kennis over kwetsbaarheden, zodat de veiligheid van IT-systemen verbeterd kan worden. De motivatie van beveiligingsonderzoekers loopt uiteen. Sommige beveiligingsonderzoekers vinden het hun sociale verantwoordelijkheid om kwetsbaarheden openbaar te maken. Op deze manier willen zij het publiek ervan bewust te maken dat hun persoonlijke informatie mogelijk niet voldoende beschermd is. Doordat sommige bedrijven hoge beloningen uitloven voor het melden van kwetsbaarheden zijn er ook onderzoekers die vanuit een commercieel oogpunt op zoek gaan naar kwetsbaarheden. Om vraag en aanbod op elkaar af te stemmen zijn er zelfs collectieven opgesteld, waar bedrijven aan kunnen geven dat zij beloningen uitloven en onderzoekers eenvoudig hun bevindingen kunnen delen.

Het gebruik van een responsible disclosure-beleid

Het gebruik van een responsible disclosure-beleid op jouw website nodigt hackers uit om gevonden kwetsbaarheden op een verantwoorde en legitieme manier te melden. Veel beveiligingsonderzoekers melden kwetsbaarheden alleen als er een dergelijk beleid beschikbaar is, omdat er anders mogelijk juridische stappen tegen ze ondernomen zou kunnen worden. Een responsible disclosure-beleid kan in de vorm zijn van een pagina op je website. Op deze pagina stel je een aantal regels en beloftes op. Deze regels zijn bijvoorbeeld dat de onderzoeker de kwetsbaarheid direct meldt, de kwetsbaarheid niet misbruikt, het problemen niet deelt met de buitenwereld maar eerst met de betreffende organisatie bespreekt, en dat de vinder voldoende informatie biedt om het probleem te kunnen reproduceren. Als belofte kan je aanbieden om spoedig te reageren, een oplossing te vinden voor het probleem, geen juridische stappen te ondernemen en mogelijk zelfs een beloning te bieden.

Verantwoordelijkheden

De organisatie die eigenaar, beheerder of leverancier is van een systeem is verantwoordelijk voor de beveiliging van dit systeem. Als onderneming ben je daarnaast verantwoordelijk voor de wijze waarop gevolg wordt gegeven aan een melding van een kwetsbaarheid. Een melder is zelf verantwoordelijk voor zijn of haar handelswijze. Wanneer een melder een kwetsbaarheid meldt, kan het zijn dat deze persoon de kwetsbaarheid per ongeluk is tegengekomen of dat deze persoon hier actief naar op zoek is gegaan, waarbij mogelijk strafbare feiten zijn gepleegd. In het kader van responsible disclosure kan je met de melder overeenkomen dat je geen aangifte zal doen. Hierbij is het belangrijk om te kijken naar welke strafbare feiten zijn gepleegd en in hoeverre de melder zich aan het opgestelde beleid heeft gehouden.  

Zelf aan de slag met een responsible disclosure-beleid?

Als je zelf aan de slag wilt met een responsible disclosure-beleid zijn er online handige hulpmiddelen beschikbaar. Zo heeft Cyberveilig Nederland een handig stappenplan opgesteld om zelf op een succesvolle manier een verantwoord openbaarmaking beleid in te zetten.

Het Nationaal Cyber Security Center (NCSC) heeft een document gepubliceerd over Coordinated Vulnerability Disclosure (CVD). Al geruime tijd voert het NCSC een beleid voor CVD. Dit beleid stond voorheen ook bekend als responsible disclosure. In dit document geven zij onder andere meer informatie en voorbeelden van teksten die bedrijven gebruiken op hun website.