CVD-beleid opstellen

In vijf stappen naar CVD-beleid

In onze leidraad Coordinated Vulnerability Disclosure beschrijven we hoe een organisatie in vijf stappen een CVD-beleid opzet. Het CVD-proces speelt zich af tussen een organisatie en een melder.

1. Spelregels bepalen
2. Capaciteit beschikbaar stellen
3. Meldingen ontvangen
4. Probleem oplossen
5. Melder belonen

Het NCSC stimuleert de inrichting van een CVD-proces door eigenaren van kritieke ICT-systemen. Als een organisatie dat wenst, kunnen wij informatie over de kwetsbaarheid met onze doelgroepen delen om veiligheidsrisico's, die voortvloeien uit de kwetsbaarheid, zo veel mogelijk te beperken.

Waar nodig treedt het NCSC ook als intermediair op, bijvoorbeeld wanneer een melding niet door de eigenaar van het ICT-systeem wordt beantwoord.

1. Spelregels bepalen

Door 'spelregels' vast te stellen legt een organisatie de drempel laag voor een melder om een melding over een kwetsbaarheid of fout te doen. Een gestandaardiseerd (online) formulier of een exclusief mailadres voor meldingen is een handig hulpmiddel.

Ook de afweging om anonieme meldingen in ontvangst te nemen is een spelregel. Net als welke systemen wel of niet onder de scope van het CVD-beleid passen. Daarmee wordt de kans afgedicht dat meldingen over systemen buiten de scope als melding in ontvangst worden genomen.

2. Capaciteit beschikbaar stellen

De organisatie reserveert interne capaciteit en richt een proces in om adequaat op meldingen te kunnen reageren. Bijvoorbeeld door een team of afdeling aan te wijzen die meldingen het beste in ontvangst kan nemen.

De herkomst van de melding doet niet ter zake. De kwetsbaarheid kan ook door een medewerker of via een test van het systeem zijn gevonden.

Ervaring leert dat, na publicatie van het CVD-beleid, er verhoogde interesse ontstaat voor het melden van kwetsbaarheden bij de organisatie. De organisatie houdt hier rekening mee door extra mensen in te zetten.

3. Meldingen ontvangen

De organisatie neemt de melding van de kwetsbaarheid in ontvangst en zorgt ervoor dat deze zo snel mogelijk terecht komt bij de afdeling die de melding in behandeling neemt. De melder krijgt een ontvangstbevestiging van de melding, bij voorkeur digitaal ondertekend om de prioriteit ervan te benadrukken.

De organisatie neemt contact op met de melder om af te spreken of en wanneer bekendmaking over de kwetsbaarheid of melding plaatsvindt. De termijn hangt samen met de aard van de kwetsbaarheid en het type systeem. Een vaak gebruikte richtlijn is een termijn van 60 dagen (ca. 2 maanden) voor publicatie over kwetsbaarheden in software. Kwetsbaarheden in hardware verhelpen vergen vaak meer tijd, tot wel 6 maanden.

4. Probleem oplossen

De organisatie gaat aan de slag om het probleem te verhelpen. Tijdens het oplossingsproces houdt de organisatie de melder op de hoogte over de voortgang.

Het kan voorkomen dat een kwetsbaarheid niet of moeilijk op te lossen is, of dat er hoge kosten gemoeid zijn met het verhelpen ervan. Soms besluit een organisatie dan om de kwetsbaarheid als geaccepteerd risico te beschouwen en niet te verhelpen.

Communicatie met de melder over het oplossen van kwetsbaarheden blijkt een positieve bijdrage te leveren aan de reputatie van de organisatie.

5. Melder belonen

Heeft de melder zich aan de spelregels in het CVD-beleid gehouden, dan verdient het de voorkeur wanneer de melder daarvoor wordt beloond. Bijvoorbeeld door de melder publiekelijk te bedanken voor diens bijdrage aan het verbeteren van de veiligheid van hun ICT-systemen. Ook een geldelijke beloning wordt gewaardeerd. De hoogte van de beloning kan afhankelijk zijn van de kwaliteit van de melding.

Door een beloning en/of publieke waardering te geven ontstaat er een betere relatie ontstaan tussen melder en organisatie. Bovendien vergroot het de bereidheid om nieuwe meldingen te doen. Is het aannemelijk dat de kwetsbaarheid ook op andere plaatsen (bij andere organisaties of bij andere ICT-systemen) aanwezig is? Dan kan de organisatie met de melder afspreken om de bredere ICT-gemeenschap te informeren.