Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Responsible disclosure uitgangspunt voor het NCSC

Nieuws | 30-11-2012

In de afgelopen weken is er sprake geweest van een aantal incidenten waarbij ICT-kwetsbaarheden en de wijze waarop deze bekend worden gemaakt een grote rol spelen. Hierbij signaleert het Nationaal Cyber Security Centrum (NCSC) dat er in de ICT-community sprake is van onrust over het melden van kwetsbaarheden.

Voor het NCSC is de samenwerking met de ICT-community van het grootste belang. Het NCSC wil nadrukkelijk een coalitie aangaan met alle partijen in de ICT-community die gezamenlijk willen bijdragen aan het realiseren van een veilige en vitale digitale samenleving. “Responsible Disclosure” is daarbij voor het NCSC een uitgangspunt.

Handreikingen

In de afgelopen maanden is door een aantal spelers uit de financiële wereld en de telecommunicatiewereld reeds handreikingen op de eigen websites gezet voor het doen van meldingen over kwetsbaarheden in informatiesystemen. Deze ontwikkeling naar het op een verantwoorde wijze doen van meldingen van kwetsbaarheden, ook wel ‘responsible disclosure’ genoemd, wordt door het NCSC volledig gesteund. Minister Opstelten (Veiligheid en Justitie) heeft de Tweede Kamer toegezegd om voor het eind van 2012 te komen met een kader voor responsible disclosure. Het NCSC is nauw betrokken bij het ontwikkelen van dit kader en spreekt in dit licht met zowel melders als met organisaties die te maken krijgen met kwetsbaarheden.

Afspraken maken

Bij responsible disclosure staat voorop dat partijen een afspraak maken over het melden van de kwetsbaarheid en hoe hier vervolgens mee om wordt gegaan. Een partij die een responsible disclosure policy uitdraagt kan bijvoorbeeld aangeven in principe geen aangifte te doen als aan een aantal met elkaar afgesproken spelregels wordt voldaan. Een voorbeeld van een spelregel is het afspreken van een redelijke termijn om de kwetsbaarheid op te lossen. Op deze wijze wordt op constructieve wijze bijgedragen aan het verhogen van de veiligheid. Hierbij kan ook worden afgesproken op welke wijze de kwetsbaarheid vervolgens in de openbaarheid, de disclosure, wordt gebracht.

Centraal bij het werken met responsible disclosure staat het verhelpen van de kwetsbaarheid en het verhogen van de veiligheid van informatiesystemen, hierin past het dan ook niet om onnodige schade aan te richten of verder te gaan dan het aantonen van de kwetsbaarheid. In een dergelijk geval is het niet gepast om onnodig grote databestanden te ontvreemden als al is aangetoond dat het databestand benaderbaar is. Tot slot speelt ook de proportionaliteit van de ingezette middelen een belangrijke rol, denk hierbij bijvoorbeeld aan het plaatsen van een eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen.

Veiligheidsrisico

In tegenstelling tot responsible disclosure wordt veelal het middel van full disclosure gehanteerd. Hierbij maakt iemand die kennis heeft van een kwetsbaarheid, deze publiek om op deze wijze de partij die het betreft te dwingen om deze kwetsbaarheid te verhelpen. Bij deze wijze van disclosure bestaat de kwetsbaarheid dus nog op het moment van de openbaarmaking, waardoor mogelijk een veiligheidsrisico bestaat op het moment van openbaarmaking.

Voor het NCSC staat het samenwerken aan de veiligheid van informatiesystemen voorop. Het samenwerken binnen gemaakte afspraken van responsible disclosure geniet daarbij de voorkeur. Het NCSC zal zich dan ook sterk blijven maken om kwetsbaarheden via responsible disclosure te kunnen verhelpen.

Over het NCSC

NCSCstill

CSBN 2016

CSBN 2016