Belang van responsible disclosure
Het komt regelmatig voor dat een beveiligingsonderzoeker, -organisatie, ethische hacker of een toevallige bezoeker een fout of kwetsbaarheid ontdekt in een product of een dienst. Het kan zijn dat door deze fout of kwetsbaarheid mensen toegang hebben tot bepaalde bedrijfssystemen, -applicaties of -informatie waartoe zij eigenlijk geen toegang zouden mogen hebben.
Een vinder van zo'n kwetsbaarheid kan op verschillende manieren omgaan met deze informatie. Met een responsible disclosure-beleid nodig je de vinder van een kwetsbaarheid uit om deze gevonden kwetsbaarheid te melden. Hierdoor heb je de tijd het probleem op te lossen, voordat informatie over de kwetsbaarheid openbaar gemaakt wordt.
Verschillende soorten disclosures
Vinders van kwetsbaarheden kunnen op verschillende manieren omgaan met deze informatie:
- Bij een zogenaamde full disclosure (volledige openbaarmaking) maakt de vinder van een kwetsbaarheid direct publiekelijk bekend dat er een kwetsbaarheid in jouw product of dienst zit. Dit is ongewenst, omdat kwaadwillenden dan direct misbruik van de kwetsbaarheid kunnen maken.
- Bij een non disclosure (geen openbaarmaking) vertelt de vinder niemand over het lek, met als nadeel dat je zelf niet op de hoogte bent van een kwetsbaarheid en het probleem dus ook niet kunt verhelpen.
- Een goede middenweg is responsible disclosure (verantwoorde openbaarmaking).
Wat is responsible disclosure?
Bij responsible disclosure stelt de vinder van een kwetsbaarheid eerst de eigenaar van het kwetsbare systeem op een verantwoorde manier op de hoogte, voordat deze publiekelijk wordt gedeeld. Het belangrijkste voordeel is dat je als ondernemer tijd krijgt om de kwetsbaarheid op te lossen, mogelijk zelfs in samenwerking met de melder. Vervolgens wordt informatie over de kwetsbaarheid openbaar gemaakt. Deze vorm van openbaarmaking heeft nadrukkelijk de voorkeur boven de full disclosure of non disclosure.
Het doel van responsible disclosure
Het doel van responsible disclosure is het op een verantwoorde manier delen van kennis over kwetsbaarheden, zodat de veiligheid van IT-systemen verbeterd kan worden. De motivatie van beveiligingsonderzoekers loopt uiteen. Sommige beveiligingsonderzoekers vinden het hun sociale verantwoordelijkheid om kwetsbaarheden openbaar te maken. Op deze manier willen zij het publiek ervan bewust te maken dat hun persoonlijke informatie mogelijk niet voldoende beschermd is. Doordat sommige bedrijven hoge beloningen (zogenoemde 'bug bounties') uitloven voor het melden van kwetsbaarheden, zijn er ook onderzoekers die vanuit een commercieel oogpunt op zoek gaan naar kwetsbaarheden. Om vraag en aanbod op elkaar af te stemmen zijn er zelfs collectieven opgesteld, waar bedrijven aan kunnen geven dat zij beloningen uitloven en onderzoekers eenvoudig hun bevindingen kunnen delen.
Het gebruik van een responsible disclosure-beleid
Het gebruik van een responsible disclosure-beleid op jouw website nodigt hackers uit om gevonden kwetsbaarheden op een verantwoorde en legitieme manier te melden. Veel beveiligingsonderzoekers melden kwetsbaarheden alleen als er een dergelijk beleid beschikbaar is, omdat er anders mogelijk juridische stappen tegen ze ondernomen zou kunnen worden. Een responsible disclosure-beleid kan in de vorm zijn van een pagina op je website. Op deze pagina stel je een aantal regels en beloftes op. Deze regels zijn bijvoorbeeld dat de onderzoeker de kwetsbaarheid direct meldt, de kwetsbaarheid niet misbruikt, het problemen niet deelt met de buitenwereld maar eerst met de betreffende organisatie bespreekt, en dat de vinder voldoende informatie biedt om het probleem te kunnen reproduceren. Als belofte kan je aanbieden om spoedig te reageren, een oplossing te vinden voor het probleem, geen juridische stappen te ondernemen en mogelijk zelfs een beloning te bieden.
Verantwoordelijkheden
De organisatie die eigenaar, beheerder of leverancier is van een systeem, is verantwoordelijk voor de beveiliging van dit systeem. Als onderneming ben je daarnaast verantwoordelijk voor de wijze waarop gevolg wordt gegeven aan een melding van een kwetsbaarheid. Een melder is zelf verantwoordelijk voor zijn of haar handelswijze. Wanneer een melder een kwetsbaarheid meldt, kan het zijn dat deze persoon de kwetsbaarheid per ongeluk is tegengekomen of dat deze persoon hier actief naar op zoek is gegaan, waarbij mogelijk strafbare feiten zijn gepleegd. In het kader van responsible disclosure kun je met de melder overeenkomen dat je geen aangifte zal doen. Hierbij is het belangrijk om te kijken naar welke strafbare feiten zijn gepleegd en in hoeverre de melder zich aan het opgestelde beleid heeft gehouden.
Aan de slag met een responsible disclosure-beleid?
Wil je op een discrete manier gewaarschuwd worden als er een kwetsbaarheid of beveiligingslek is gevonden in je IT-landschap? Ga dan aan de slag met een eigen responsible disclosure beleid. Er zijn handige tips en hulpmiddelen beschikbaar.
Het DTC waarschuwt bedrijven bij ernstige kwetsbaarheden
Sinds de zomer van 2021 notificeert het Digital Trust Center (DTC) bedrijven als er een ernstige kwetsbaarheid in netwerk- of IT-systemen bekend is. Zo werden de eerste 12 maanden van deze nieuwe dienst al ruim 1700 bedrijven gewaarschuwd voor een cyberdreiging. En het aantal gewaarschuwde bedrijven loopt hard op.
Bedrijven zijn erbij gebaat om snel en discreet op de hoogte te worden gesteld van een beveiligingslek. Om geen onnodige tijd verloren te laten gaan, kun je een security.txt-bestand maken en toevoegen aan je webserver. In dit bestand geef je aan hoe en waar vinders van kwetsbaarheden de security-verantwoordelijke kunnen bereiken.