CVD-beleid

Regelmatig worden nieuwe kwetsbaarheden in producten of diensten gevonden door onderzoekers of organisaties. De vinder kan door Coordinated Vulnerability Disclosure de eigenaren van die producten of diensten op de hoogte stellen. Eigenaren kunnen dan maatregelen nemen voordat de kwetsbaarheden actief misbruikt zullen worden door derden. Al geruime tijd voert het NCSC een beleid voor Coordinated Vulnerability Disclosure (CVD). Dit beleid stond vroeger bekend als Responsible Disclosure.

Leidraad voor CVD-beleid

Met de leidraad kunnen organisaties een eigen CVD-beleid inrichten. Bijvoorbeeld over de wijze waarop melders kwetsbaarheden aan de organisatie kunnen doorgeven, afspraken over berichtgeving, de oplossingstermijn en eventuele beloning aan melders.
Sinds 2013 heeft het NCSC enkele honderden meldingen ontvangen en verwerkt. Veel Nederlandse organisaties voeren een actief CVD-beleid. Dit illustreert de toegevoegde waarde van een CVD-proces: de digitale weerbaarheid in Nederland wordt groter omdat we elkaar daarbij helpen.

Fouten in ICT-systemen vinden

Zoeken naar 'bugs', datalekken of een ander type kwetsbaarheid in ICT-systemen van anderen is zonder toestemming van de eigenaar niet toegestaan. Soms huren organisaties vanwege de veiligheid een (ethisch) hacker in, bijvoorbeeld om pen-testen uit te voeren. Natuurlijk kan iemand spontaan op een kwetsbaarheid stuiten en wil dat melden aan de organisatie.

Raakt een kwetsbaarheid meerdere ICT-systemen of gaat het om een vitaal systeem zoals van drinkwatervoorziening of een elektriciteitsnetwerk? Neem dan contact op met het NCSC.

CVD-beleid opstellen

Door een eigen CVD-beleid in te richten, maakt een organisatie als eigenaar duidelijk hoe zij omgaat met meldingen over kwetsbaarheden in ICT-systemen. Daarmee bepaalt een organisatie zelf de manier waarop zij meldingen wil ontvangen en hulp van melders accepteert.

Een CVD-beleid opzetten vergt bewustwording van een organisatie over de veiligheid van ICT-systemen met online toegang. In dit beleid vermeldt de organisatie volgens welke spelregels melders onderzoek naar kwetsbaarheden kunnen doen, welke technieken zijn toegestaan en welke systemen wel en niet binnen de scope vallen.

In vijf stappen naar CVD-beleid
In onze leidraad Coordinated Vulnerability Disclosure beschrijven we hoe een organisatie in vijf stappen een CVD-beleid opzet. Het CVD-proces speelt zich af tussen een organisatie en een melder. Het NCSC stimuleert de inrichting van een CVD-proces door eigenaren van kritieke ICT-systemen. Als een organisatie dat wenst, kunnen wij informatie over de kwetsbaarheid met onze doelgroepen delen om veiligheidsrisico's, die voortvloeien uit de kwetsbaarheid, zo veel mogelijk te beperken.

Waar nodig treedt het NCSC ook als intermediair op, bijvoorbeeld wanneer een melding niet door de eigenaar van het ICT-systeem wordt beantwoord.