Expertblogs

Multi-party disclosure - hoe zit het precies?

De afgelopen weken heeft het NCSC een aantal berichten uitgebracht over een multi-party disclosure traject. In dit blog zal ik uitleggen wat het verschil is tussen 'gewoon' coordinated vulnerability disclosure en multi-party disclosure processen. Sta ik stil bij wat de verschillende rollen zijn binnen zo'n disclosure traject en welke rol het NCSC daar dan in vervult. Ik sluit af met de moeilijkheden die in zo'n traject naar boven komen.

Coordinated Vulnerability Disclosure

Het 'gewone' traject van het onthullen van kwetsbaarheden gaat om het gecoördineerd onthullen van een kwetsbaarheid in product of dienst die bij slechts één organisatie in gebruik is, ofwel Coordinated Vulnerability Disclosure (CVD). In het kort bevat dit proces een aantal stappen: Het begint met een melder die een kwetsbaarheid in een product of dienst ontdekt. Daarna neemt de melder contact op met de eigenaar van dit product of dienst om de kwetsbaarheid toe te lichten. De eigenaar gaat aan de slag om het probleem op te lossen of weg te nemen. Ten slotte spreken de melder en de eigenaar met elkaar af hoe ze de kwetsbaarheid zullen onthullen. Dit proces en alle randvoorwaarden hierbij staat verder toegelicht in de leidraad CVD.  In het verleden werd dit proces ook wel Responsible Disclosure genoemd.

Het NCSC raadt organisaties aan om een beleid te publiceren voor CVD met daarin een contactpunt en randvoorwaarden. Op deze manier is voor melders duidelijk dat organisaties ontvankelijk zijn. Het gepubliceerde beleid geeft bovendien houvast voor de melders en onderzoekers over de randvoorwaarden die gelden bij het zoeken naar kwetsbaarheden. 

In het 'gewone' CVD proces speelt het NCSC alleen een rol als het gaat om kwetsbaarheden in systemen van het NCSC, of als contactpunt voor Rijksoverheidsorganisaties (als die dat niet zelf hebben). Soms kan het NCSC als mediator optreden voor andere partijen als de melder en de ontvangende organisatie er  samen niet uit komen.

Multi-Party Coordinated Vulnerability Disclosure

Multi-party disclosure is de omschrijving van CVD processen waarin meerdere partijen betrokken zijn. Bij het 'gewone' CVD proces zijn in principe alleen een melder en een ontvangende organisatie betrokken, maar bij multi-party CVD zijn er meerdere ontvangende organisaties betrokken. Het kan gaan om kwetsbaarheden die terugkomen in meerdere producten of om eenzelfde product bij meerdere eigenaars. In dit proces is niet alleen het gecoördineerd onthullen belangrijk, maar ook het afstemmen met en tussen de verschillende partijen.

In een multi-party disclosure is het vaak nodig om een procesbegeleider (een coördinator) te hebben. Het NCSC kan de coördinatorrol op zich te nemen als dit relevant is voor onze doelgroep en zo dit proces te ondersteunen, zoals beschreven in de leidraad CVD.

Een voorbeeld van een multi-party CVD traject is een onderzoek uit 2015 waaruit bleek dat standaard wachtwoorden van draadloze routers voorspelbaar bleken te zijn. Onderzoekers van de Radboud Universiteit hebben contact gezocht met het NCSC om dit proces te begeleiden. Het NCSC heeft daarop gebruik gemaakt van haar netwerk en de verschillende internet providers in Nederland geïnformeerd. De providers zijn daarna in overleg gegaan met leveranciers om updates beschikbaar te maken en wijzigingen aan te brengen in het leveringsproces.
Met een handvol internet providers, met elk verschillende leveranciers zijn er al vrij snel veel verschillende partijen betrokken en is het nodig om heldere afspraken te maken en zorgen dat die voor iedereen duidelijk zijn, terwijl tegelijkertijd de geheimhouding gewaarborgd blijft.

Moeilijkheden van Multi-Party Disclosure

Een multi-party disclosure traject wordt al vrij snel veel ingewikkelder dan een regulier vulnerability disclosure traject. De internationale security community heeft in 2020 een richtlijn gepubliceerd voor multi-party disclosure met adviezen en aandachtspunten voor dit traject. Het eerste diagram uit deze richtlijn geeft de verschillende rollen en relaties weer die al duidelijk maken dat dit een ingewikkeld traject kan zijn.

Multi-Party Coordinated Vulnerability Disclosure
Beeld: ©First.org / https://www.first.org/global/sigs/vulnerability-coordination/multiparty/guidelines-v1.1

Met verschillende partijen spelen ook verschillende belangen en verschillende culturen. Factoren die in dit proces een rol spelen zijn bijvoorbeeld open-source communities, bug bounty programma's, de toenemende complexiteit van supply-chains of de verschillende rollen van security teams bij leveranciers en andere organisaties. Deze hebben allemaal een rol en belang bij het onthullen en tegengaan van kwetsbaarheden, maar elk op een andere manier.

De verschillende belangen maken ook dat belangenafwegingen moeten worden gemaakt. Voor het NCSC is nationale veiligheid en veiligheid van het Internet als geheel van belang. Voor commerciële partijen speelt een commercieel belang mee, en voor veel partijen gaat het om inspanningen die op een gegeven moment verricht moeten worden. Daarbij is CVD een gesloten proces waarbij niet alle informatie op elk moment met iedereen gedeeld kan worden.

Het NCSC heeft de afgelopen jaren een aantal van deze multi-party disclosure trajecten gecoördineerd en eraan deelgenomen. Wij blijven daarbij in overleg met relevante partijen wat daarbij de beste aanpak is en evalueren onze aanpak constant. Die evaluaties gebruiken wij om onze eigen processen te verbeteren en delen die bevindingen ook met anderen. Zo zullen we dat ook doen met het RPKI disclosure traject.

Jeroen van der Ham 

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.