Regelmatig worden nieuwe kwetsbaarheden in producten of diensten gevonden door onderzoekers of organisaties. De vinder kan door Coordinated Vulnerability Disclosure de eigenaren van die producten of diensten op de hoogte stellen. Eigenaren kunnen dan maatregelen nemen voordat de kwetsbaarheden actief misbruikt zullen worden door derden. Al geruime tijd voert het NCSC een beleid voor Coordinated Vulnerability Disclosure (CVD). Dit beleid stond vroeger bekend als Responsible Disclosure.
Leidraad voor CVD-beleid
Met de leidraad kunnen organisaties een eigen CVD-beleid inrichten. Bijvoorbeeld over de wijze waarop melders kwetsbaarheden aan de organisatie kunnen doorgeven, afspraken over berichtgeving, de oplossingstermijn en eventuele beloning aan melders.
Sinds 2013 heeft het NCSC enkele honderden meldingen ontvangen en verwerkt. Veel Nederlandse organisaties voeren een actief CVD-beleid. Dit illustreert de toegevoegde waarde van een CVD-proces: de digitale weerbaarheid in Nederland wordt groter omdat we elkaar daarbij helpen.
Fouten in ICT-systemen vinden
Zoeken naar 'bugs', datalekken of een ander type kwetsbaarheid in ICT-systemen van anderen is zonder toestemming van de eigenaar niet toegestaan. Soms huren organisaties vanwege de veiligheid een (ethisch) hacker in, bijvoorbeeld om pen-testen uit te voeren. Natuurlijk kan iemand spontaan op een kwetsbaarheid stuiten en wil dat melden aan de organisatie.
Hoe weet de organisatie dat het een betrouwbare melding is? Door aan te geven dat ze open staan voor meldingen van onbekenden. Dat kan in een beleid voor Coordinated Vulnerability Disclosure (CVD), ook wel Responsible Disclosure genoemd. In het CVD-beleid staan regels voor melden en ontvangen van kwetsbaarheden en fouten. Het CVD- of RD-beleid staat op de website van een organisatie.
De eigenaar van het ICT-systeem vermeldt in het CVD- of RD-beleid over welke ICT-systemen meldingen gedaan kunnen worden. Ook staat erin welke onderzoeksmethoden gebruikt mogen worden om kwetsbaarheden te vinden. Hoe je een melding moet doen als je een kwetsbaarheid hebt gevonden wordt ook uitgelegd.
In het beleid staat informatie binnen hoeveel tijd de organisatie de gemelde kwetsbaarheid of fout oplost. Dat betekent dat de organisatie deze tijd gebruikt om een oplossing te ontwerpen. Tijdens die periode mag de ontdekking niet openbaar gemaakt worden.
Tijdens het zoeken naar kwetsbaarheden in ICT-systemen moet de werkwijze passen bij het CVD- of RD-beleid van de eigenaar van het ICT-systeem. Wordt aan deze eis voldaan, dan heeft een organisatie geen reden om aan de bedoelingen te twijfelen van degene die zoekt naar kwetsbaarheden.
Toch kan een organisatie een reden hebben om aangifte te doen of andere juridische stappen te ondernemen. Om een strafrechtelijk onderzoek van politie of Openbaar Ministerie te voorkomen, is een logboek van de zoektocht aan te bevelen.
Als iemand zich bewust of onbewust niet aan het CVD- of RD-beleid houdt, kan er een onderzoek worden ingesteld. Op basis van dit onderzoek besluit het Openbaar Ministerie om wel of niet tot strafvervolging over te gaan.
Voor het melden van een bug, datalek of andere kwetsbaarheid in een ICT-systeem gelden regels. De eerste regel is dat een kwetsbaarheid altijd eerst bij de eigenaar van het systeem wordt gemeld. Dit moet vertrouwelijk worden gedaan, om te voorkomen dat anderen toegang krijgen tot (informatie over) de kwetsbaarheid.
Onthullen van de kwetsbaarheid betekent niet automatisch dat er een beloning tegenover staat. De eigenaar van het systeem vermeldt een beloning in het CVD-beleid. Vertrouwelijk omgaan met informatie over kwetsbaarheden is de tweede regel. De derde regel luidt dat openbaar maken van de kwetsbaarheid alléén in samenspraak met de organisatie zelf plaatsvindt.
Raakt een kwetsbaarheid meerdere ICT-systemen of gaat het om een vitaal systeem zoals van drinkwatervoorziening of een elektriciteitsnetwerk? Neem dan contact op met het NCSC.
CVD-beleid opstellen
Door een eigen CVD-beleid in te richten, maakt een organisatie als eigenaar duidelijk hoe zij omgaat met meldingen over kwetsbaarheden in ICT-systemen. Daarmee bepaalt een organisatie zelf de manier waarop zij meldingen wil ontvangen en hulp van melders accepteert.
Een CVD-beleid opzetten vergt bewustwording van een organisatie over de veiligheid van ICT-systemen met online toegang. In dit beleid vermeldt de organisatie volgens welke spelregels melders onderzoek naar kwetsbaarheden kunnen doen, welke technieken zijn toegestaan en welke systemen wel en niet binnen de scope vallen.
In vijf stappen naar CVD-beleid
In onze leidraad Coordinated Vulnerability Disclosure beschrijven we hoe een organisatie in vijf stappen een CVD-beleid opzet. Het CVD-proces speelt zich af tussen een organisatie en een melder. Het NCSC stimuleert de inrichting van een CVD-proces door eigenaren van kritieke ICT-systemen. Als een organisatie dat wenst, kunnen wij informatie over de kwetsbaarheid met onze doelgroepen delen om veiligheidsrisico's, die voortvloeien uit de kwetsbaarheid, zo veel mogelijk te beperken.
Waar nodig treedt het NCSC ook als intermediair op, bijvoorbeeld wanneer een melding niet door de eigenaar van het ICT-systeem wordt beantwoord.
Door 'spelregels' vast te stellen legt een organisatie de drempel laag voor een melder om een melding over een kwetsbaarheid of fout te doen. Een gestandaardiseerd (online) formulier of een exclusief mailadres voor meldingen is een handig hulpmiddel.
Ook de afweging om anonieme meldingen in ontvangst te nemen is een spelregel. Net als welke systemen wel of niet onder de scope van het CVD-beleid passen. Daarmee wordt de kans afgedicht dat meldingen over systemen buiten de scope als melding in ontvangst worden genomen.
De organisatie reserveert interne capaciteit en richt een proces in om adequaat op meldingen te kunnen reageren. Bijvoorbeeld door een team of afdeling aan te wijzen die meldingen het beste in ontvangst kan nemen.
De herkomst van de melding doet niet ter zake. De kwetsbaarheid kan ook door een medewerker of via een test van het systeem zijn gevonden.
Ervaring leert dat, na publicatie van het CVD-beleid, er verhoogde interesse ontstaat voor het melden van kwetsbaarheden bij de organisatie. De organisatie houdt hier rekening mee door extra mensen in te zetten.
De organisatie neemt de melding van de kwetsbaarheid in ontvangst en zorgt ervoor dat deze zo snel mogelijk terecht komt bij de afdeling die de melding in behandeling neemt. De melder krijgt een ontvangstbevestiging van de melding, bij voorkeur digitaal ondertekend om de prioriteit ervan te benadrukken.
De organisatie neemt contact op met de melder om af te spreken of en wanneer bekendmaking over de kwetsbaarheid of melding plaatsvindt. De termijn hangt samen met de aard van de kwetsbaarheid en het type systeem. Een vaak gebruikte richtlijn is een termijn van 60 dagen (ca. 2 maanden) voor publicatie over kwetsbaarheden in software. Kwetsbaarheden in hardware verhelpen vergen vaak meer tijd, tot wel 6 maanden.
De organisatie gaat aan de slag om het probleem te verhelpen. Tijdens het oplossingsproces houdt de organisatie de melder op de hoogte over de voortgang.
Het kan voorkomen dat een kwetsbaarheid niet of moeilijk op te lossen is, of dat er hoge kosten gemoeid zijn met het verhelpen ervan. Soms besluit een organisatie dan om de kwetsbaarheid als geaccepteerd risico te beschouwen en niet te verhelpen.
Communicatie met de melder over het oplossen van kwetsbaarheden blijkt een positieve bijdrage te leveren aan de reputatie van de organisatie.
Heeft de melder zich aan de spelregels in het CVD-beleid gehouden, dan verdient het de voorkeur wanneer de melder daarvoor wordt beloond. Bijvoorbeeld door de melder publiekelijk te bedanken voor diens bijdrage aan het verbeteren van de veiligheid van hun ICT-systemen. Ook een geldelijke beloning wordt gewaardeerd. De hoogte van de beloning kan afhankelijk zijn van de kwaliteit van de melding.
Door een beloning en/of publieke waardering te geven ontstaat er een betere relatie ontstaan tussen melder en organisatie. Bovendien vergroot het de bereidheid om nieuwe meldingen te doen. Is het aannemelijk dat de kwetsbaarheid ook op andere plaatsen (bij andere organisaties of bij andere ICT-systemen) aanwezig is? Dan kan de organisatie met de melder afspreken om de bredere ICT-gemeenschap te informeren.
