Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Kwetsbaarheden in Ivanti EPMM 

Lees de alert met tijdlijn, scanscript, duiding en handelingsperspectieven.

Belang van responsible disclosure

Kennisartikelen
Leestijd:
Kwetsbaarheden(beheer)
Groeien
Wanneer een beveiligingsonderzoeker, ethische hacker of toevallige bezoeker een kwetsbaarheid ontdekt, kan dat ongewenste toegang geven tot systemen of informatie. Hoe een vinder met zo’n ontdekking omgaat, verschilt. Met een responsible‑disclosurebeleid nodig je vinders actief uit om kwetsbaarheden veilig te melden, zodat jij de tijd hebt om het probleem te verhelpen voordat details openbaar worden. Zo bescherm je zowel je organisatie als je gebruikers.

Verschillende soorten disclosures

Vinders van kwetsbaarheden kunnen op verschillende manieren omgaan met deze informatie:

  • Bij een zogenaamde full disclosure (volledige openbaarmaking) maakt de vinder van een kwetsbaarheid direct publiekelijk bekend dat er een kwetsbaarheid in jouw product of dienst zit. Dit is ongewenst, omdat kwaadwillenden dan direct misbruik van de kwetsbaarheid kunnen maken.
  • Bij een non disclosure (geen openbaarmaking) vertelt de vinder niemand over het lek, met als nadeel dat je zelf niet op de hoogte bent van een kwetsbaarheid en het probleem dus ook niet kunt verhelpen.
  • Een goede middenweg is responsible disclosure (verantwoorde openbaarmaking).

Wat is responsible disclosure?

Bij responsible disclosure stelt de vinder van een kwetsbaarheid eerst de eigenaar van het kwetsbare systeem op een verantwoorde manier op de hoogte, voordat deze publiekelijk wordt gedeeld. Het belangrijkste voordeel is dat je als ondernemer tijd krijgt om de kwetsbaarheid op te lossen, mogelijk zelfs in samenwerking met de melder. Vervolgens wordt informatie over de kwetsbaarheid openbaar gemaakt. Deze vorm van openbaarmaking heeft nadrukkelijk de voorkeur boven de full disclosure of non disclosure.

Het doel van responsible disclosure

Het doel van responsible disclosure is het op een verantwoorde manier delen van kennis over kwetsbaarheden, zodat de veiligheid van IT-systemen verbeterd kan worden. De motivatie van beveiligingsonderzoekers loopt uiteen. Sommige beveiligingsonderzoekers vinden het hun sociale verantwoordelijkheid om kwetsbaarheden openbaar te maken. Op deze manier willen zij het publiek ervan bewust te maken dat hun persoonlijke informatie mogelijk niet voldoende beschermd is. Doordat sommige bedrijven hoge beloningen (zogenoemde 'bug bounties') uitloven voor het melden van kwetsbaarheden, zijn er ook onderzoekers die vanuit een commercieel oogpunt op zoek gaan naar kwetsbaarheden. Om vraag en aanbod op elkaar af te stemmen zijn er zelfs collectieven opgesteld, waar bedrijven aan kunnen geven dat zij beloningen uitloven en onderzoekers eenvoudig hun bevindingen kunnen delen.

Het gebruik van een responsible disclosure-beleid

Het gebruik van een responsible disclosure-beleid op jouw website nodigt hackers uit om gevonden kwetsbaarheden op een verantwoorde en legitieme manier te melden. Veel beveiligingsonderzoekers melden kwetsbaarheden alleen als er een dergelijk beleid beschikbaar is, omdat er anders mogelijk juridische stappen tegen ze ondernomen zou kunnen worden. Een responsible disclosure-beleid kan in de vorm zijn van een pagina op je website. Op deze pagina stel je een aantal regels en beloftes op. Deze regels zijn bijvoorbeeld dat de onderzoeker de kwetsbaarheid direct meldt, de kwetsbaarheid niet misbruikt, het problemen niet deelt met de buitenwereld maar eerst met de betreffende organisatie bespreekt, en dat de vinder voldoende informatie biedt om het probleem te kunnen reproduceren. Als belofte kan je aanbieden om spoedig te reageren, een oplossing te vinden voor het probleem, geen juridische stappen te ondernemen en mogelijk zelfs een beloning te bieden.

Verantwoordelijkheden

De organisatie die eigenaar, beheerder of leverancier is van een systeem, is verantwoordelijk voor de beveiliging van dit systeem. Als onderneming ben je daarnaast verantwoordelijk voor de wijze waarop gevolg wordt gegeven aan een melding van een kwetsbaarheid. Een melder is zelf verantwoordelijk voor zijn of haar handelswijze. Wanneer een melder een kwetsbaarheid meldt, kan het zijn dat deze persoon de kwetsbaarheid per ongeluk is tegengekomen of dat deze persoon hier actief naar op zoek is gegaan, waarbij mogelijk strafbare feiten zijn gepleegd. In het kader van responsible disclosure kun je met de melder overeenkomen dat je geen aangifte zal doen. Hierbij is het belangrijk om te kijken naar welke strafbare feiten zijn gepleegd en in hoeverre de melder zich aan het opgestelde beleid heeft gehouden.

Aan de slag met een responsible disclosure-beleid?

Wil je op een discrete manier gewaarschuwd worden als er een kwetsbaarheid of beveiligingslek is gevonden in je IT-landschap? Ga dan aan de slag met een eigen responsible disclosure beleid. 

Aan de slag met responsible disclosure-beleid
Formulier
Heeft deze pagina je geholpen?