Het oordeel van onze jury: de Wall of Fame 2025
Ook in het afgelopen jaar ontving het Fusion Centre opnieuw duizenden meldingen. Afhankelijk van de ernst en impact wordt een melding zorgvuldig opgepakt en doorgeleid naar de verantwoordelijke organisatie, voorzien van passend handelingsperspectief. Het NCSC blijft hierbij nauw betrokken gedurende het volledige traject: van eerste melding tot daadwerkelijke oplossing. Na het verhelpen van een kwetsbaarheid ontvangt de melder het inmiddels bekende “I hacked the Dutch government and all I got was this lousy t-shirt”. Onderzoekers die op de Wall of Fame komen krijgen trui met de tekst 'I am on the 2025 Wall of Fame of NCSC'.
CVD-meldingen zijn van grote waarde voor het NCSC. Om onderzoekers met uitzonderlijke meldingen extra te erkennen, publiceren wij sinds 2022 jaarlijks een Wall of Fame. Hierop eren wij de securityonderzoekers die in het voorgaande jaar met hun meldingen een bijzondere impact hebben gehad.
“I am on the 2025 Wall of Fame of NCSC”
Juryoordeel
In de afgelopen weken heeft de jury zich gebogen over de inzendingen voor de Wall of Fame 2025. Uit alle meldingen is een selectie gemaakt van de meest waardevolle en impactvolle bijdragen. Voor een plek op de lijst moet een melding aan meerdere criteria voldoen. Zo kijkt de jury naar de impact op de digitale veiligheid van Nederland en de kwaliteit en zorgvuldigheid van de rapportage. Daarnaast worden de mogelijke gevolgen voor organisaties meegewogen, zoals risico’s voor vertrouwelijkheid en integriteit, evenals de wijze waarop de kwetsbaarheid is ontdekt.
Toelichting van de jury:
“Ook in 2025 is een aanzienlijk aantal kwetsbaarheden in systemen van de Rijksoverheid gemeld bij ons Fusion Centre. Hoewel veel meldingen betrekking hadden op publiek toegankelijke, internet-aangesloten systemen, zagen we ook een opvallend aantal meldingen over interne systemen. Dat maakt de potentiële impact des te groter. In enkele gevallen ging het om het blootstellen van gevoelige personeelsgegevens, maar ook om kwetsbaarheden waarbij vergadersessies ingezien konden worden. Opvallend is dat veel melders ons CVD-meldingsportaal hebben gevonden via de implementatie van security.txt, wat het belang van deze maatregel opnieuw onderstreept.”
Wij spreken onze grote waardering uit voor alle securityonderzoekers die hun tijd, kennis en energie hebben ingezet om deze kwetsbaarheden te melden. Zonder hun inzet zouden veel risico’s mogelijk langer zijn blijven bestaan. Naast een eervolle vermelding op de Wall of Fame mogen de geselecteerde onderzoekers, geheel in stijl; de “I am on the 2025 Wall of Fame of NCSC”-trui toevoegen aan hun NCSC-kledingcollectie.
“Opvallend is dat veel melders ons CVD-meldingsportaal hebben gevonden via de implementatie van security.txt, wat het belang van deze maatregel opnieuw onderstreept.”
Tot slot willen wij alle melders van harte feliciteren. Met trots presenteren wij de Wall of Fame 2025.
Benieuwd hoe CVD-melden in de praktijk werkt?
In het interview met ethisch hacker Chester van den Bogaard wordt uitgelegd hoe Coordinated Vulnerability Disclosure (CVD) wordt gebruikt om kwetsbaarheden verantwoord te melden bij de Nederlandse overheid. Het artikel gaat in op het meldproces, de rol van het NCSC en waarom CVD-afspraken belangrijk zijn om beveiligingsproblemen veilig op te lossen voordat ze openbaar worden.