Fouten in ICT-systemen vinden
Zoeken naar 'bugs', datalekken of een ander type kwetsbaarheid in ICT-systemen van anderen is zonder toestemming van de eigenaar niet toegestaan. Soms huren organisaties vanwege de veiligheid een (ethisch) hacker in, bijvoorbeeld om pen-testen uit te voeren. Natuurlijk kan iemand spontaan op een kwetsbaarheid stuiten en wil dat melden aan de organisatie.
Betrouwbare melding
Hoe weet de organisatie dat het een betrouwbare melding is? Door aan te geven dat ze open staan voor meldingen van onbekenden. Dat kan in een beleid voor Coordinated Vulnerability Disclosure (CVD), ook wel Responsible Disclosure genoemd. In het CVD-beleid staan regels voor melden en ontvangen van kwetsbaarheden en fouten. Het CVD- of RD-beleid staat op de website van een organisatie.
Raadplegen van CVD-beleid
De eigenaar van het ICT-systeem vermeldt in het CVD- of RD-beleid over welke ICT-systemen meldingen gedaan kunnen worden. Ook staat erin welke onderzoeksmethoden gebruikt mogen worden om kwetsbaarheden te vinden. Hoe je een melding moet doen als je een kwetsbaarheid hebt gevonden wordt ook uitgelegd.
In het beleid staat informatie binnen hoeveel tijd de organisatie de gemelde kwetsbaarheid of fout oplost. Dat betekent dat de organisatie deze tijd gebruikt om een oplossing te ontwerpen. Tijdens die periode mag de ontdekking niet openbaar gemaakt worden.
Grenzen aan zoeken naar kwetsbaarheden
Tijdens het zoeken naar kwetsbaarheden in ICT-systemen moet de werkwijze passen bij het CVD- of RD-beleid van de eigenaar van het ICT-systeem. Wordt aan deze eis voldaan, dan heeft een organisatie geen reden om aan de bedoelingen te twijfelen van degene die zoekt naar kwetsbaarheden.
Toch kan een organisatie een reden hebben om aangifte te doen of andere juridische stappen te ondernemen. Om een strafrechtelijk onderzoek van politie of Openbaar Ministerie te voorkomen, is een logboek van de zoektocht aan te bevelen.
Als iemand zich bewust of onbewust niet aan het CVD- of RD-beleid houdt, kan er een onderzoek worden ingesteld. Op basis van dit onderzoek besluit het Openbaar Ministerie om wel of niet tot strafvervolging over te gaan.
Regels voor melden van kwetsbaarheden
Voor het melden van een bug, datalek of andere kwetsbaarheid in een ICT-systeem gelden regels. De eerste regel is dat een kwetsbaarheid altijd eerst bij de eigenaar van het systeem wordt gemeld. Dit moet vertrouwelijk worden gedaan, om te voorkomen dat anderen toegang krijgen tot (informatie over) de kwetsbaarheid.
Onthullen van de kwetsbaarheid betekent niet automatisch dat er een beloning tegenover staat. De eigenaar van het systeem vermeldt een beloning in het CVD-beleid. Vertrouwelijk omgaan met informatie over kwetsbaarheden is de tweede regel. De derde regel luidt dat openbaar maken van de kwetsbaarheid alléén in samenspraak met de organisatie zelf plaatsvindt.
Raakt een kwetsbaarheid meerdere ICT-systemen of gaat het om een vitaal systeem zoals van drinkwatervoorziening of een elektriciteitsnetwerk, neem dan contact op met het NCSC.