I am on the Wall of Fame of NCSC and all I got…

Expertblogs

Al sinds een jaar of tien is het Nationaal Cyber Security Centrum (NCSC) hét aanspreekpunt voor security-onderzoekers voor het melden van kwetsbaarheden in de digitale infrastructuur van de Rijksoverheid. Het Fusion Centre van NCSC functioneert als de oren en ogen van digitaal veilig Nederland. Wij ontvangen per dag tientallen meldingen van onderzoekers. Gelukkig maar, want met het delen van deze kennis over kwetsbaarheden dragen onderzoekers direct bij aan een digitaal veilig Nederland. Soms met een gelimiteerde impact, maar soms ook met een flinke.

Vergroot afbeelding
Beeld: ©NCSC

Iedere maand verlaat een grote stapel pakketjes de postkamer van het ministerie naar locaties over de hele wereld. Wanneer een kwetsbaarheidsmelding via het Coordinated Vulnerability Disclosure-formulier [1] binnenkomt, wordt deze beoordeeld door securityspecialisten van het NCSC. Afhankelijk van de impact wordt deze doorgestuurd naar de betreffende organisatie met, indien nodig, beoogd handelingsperspectief [2]. Het NCSC blijft van melding tot oplossing betrokken. We faciliteren het contact tussen de melder en de organisatie, geven de organisatie advies en kunnen de eventuele geïmplementeerde maatregelen testen. Is de kwetsbaarheid verholpen? Dan ontvangt de melder het pakketje met daarin het felbegeerde “I hacked the Dutch government and all I got was this lousy t-shirt”-shirt.

Sommige meldingen kunnen een grote impact hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van Rijksoverheid-websites. Bijvoorbeeld de melding over verouderde software waardoor mogelijk schadelijke code kon worden uitgevoerd op een preproductie-omgeving van een service waar dagelijks veel Nederlanders gebruik van maken. Of die keer dat we werden gewezen op de toepassing van onvoldoende invoervalidatie waardoor persoonsgegevens van medewerkers van een Rijksoverheidsorganisatie konden worden ingezien. En die melding dat gevoelige documenten van een organisatie die vaak in de media komt onbedoeld publiekelijk beschikbaar waren. Het zijn een aantal voorbeelden van de meest memorabele meldingen van het afgelopen jaar. Door snel handelen van de betreffende organisaties en het NCSC konden we gezamenlijk een incident voorkomen. Dat had niet gekund zonder de melder.

Daarom willen we de onderzoekers van die meldingen extra bedanken. Want zonder deze meldingen, waar soms veel tijd en energie in zit, bestonden deze kwetsbaarheden misschien nog steeds. Met de introductie van een ‘Wall of Fame’ willen we onderzoekers in het zonnetje zetten die zich het afgelopen jaar uitzonderlijk hebben ingespannen om Nederland digitaal veiliger te maken. In januari 2023 wordt na uitgebreid juryberaad – met als juryleden de securityspecialisten binnen het Fusion Centre – bepaald welke onderzoekers met kwalitatieve rapportages uit 2022 het meest hebben bijgedragen aan een digitaal veilig Nederland. Na goedkeuring van de melders krijgen zij de prestigieuze plek op de 2022 Wall of Fame van NCSC. Natuurlijk met een passende toevoeging aan de bovengenoemde zwarte t-shirtlijn, de “I am on the 2022 Wall of Fame of NCSC and all I got was this lousy hoody!”- trui.

Sanne Maasakkers
Securityspecialist bij het Fusion Centre

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.