image

NCSC: responsible disclosure beleid werkt

vrijdag 27 september 2013, 11:37 door Redactie, 6 reacties

Het Nationaal Cyber Security Center (NCSC) van de overheid heeft sinds begin dit jaar negen meldingen van lekken ontvangen die op verantwoorde wijze waren gerapporteerd, wat volgens de organisatie aangeeft dat het nieuwe responsible disclosure beleid werkt.

Acht meldingen betroffen kwetsbaarheden in de infrastructuur van het NCSC zelf. Deze kwetsbaarheden zijn, in nauw contact met de melder, opgelost, zo laat de organisatie weten. Sinds 2013 hanteert het NCSC een responsible disclosure beleid. Dit beleid gaat in op welke manier kwetsbaarheden in de ICT-systemen van het NCSC kunnen worden gemeld. Conform het resposible disclosure beleid ontvangen melders van beveiligingslekken een beloning in de vorm van een speciaal NCSC T-shirt.

"Het NCSC is verheugd dat kwetsbaarheden op verantwoorde wijze worden gemeld. Het benadrukt ook dat deze benadering van responsible disclosure werkt", aldus het NCSC. Ronald Prins van Fox-IT was één van de melders die een T-shirt ontving, zo laat hij op Twitter weten.

Image

Reacties (6)
27-09-2013, 11:42 door john west
Wat een krenten zijn die NCSC,ik zou het niet accepteren.

Dit is geen stimulans voor melders.
27-09-2013, 11:56 door Anoniem
"Wat een krenten zijn die NCSC, ik zou het niet accepteren. Dit is geen stimulans voor melders."

Hoezo, moet de stimulans financieel zijn ? Het is gewoon een leuke aardigheid.
27-09-2013, 12:03 door Anoniem
Een t-shirt! Voor een ervaren lobbyist! Altijd beter nog dan een veroordeling. Toch? Toch?!?

Zie je wel, het beleid werkt. QED.
27-09-2013, 13:38 door _Peterr
Ik vind het een positief hoe ze het oppakken. Financieel is moeilijk in te regelen want dat zet ook aan tot op zoek gaan naar lekken. Al is dat ook weer iets wat we moeten stumuleren.

Een soort van kip-ei verhaal. Waar ligt de grens?
Wat geef je dan en wat is een bepaald lek waard? Is een XSS meer waard dan een SQL injectie, of juist anderson?
27-09-2013, 17:56 door [Account Verwijderd]
[Verwijderd]
27-09-2013, 18:14 door Anoniem
hm, juist. bij een bedrijf kun je een geldsom verwachten, van de regering een (lousy) tshirt. maar wel honderden miljarden uitgeven aan de JSF, Euro/Eurolanden en ontwikkelingslanden. regering, Y U NOT WORKING RIGHT!

op basis van 9 responsible disclosures een persbericht versturen 'Ja he hoor eens even, het responsible disclosure beleid werkt!' vind ik nogal een grote aanname als je er vanuit gaat dat er iedere maand tientallen tot hondertallen full-disclosures/datadumps verschijnen (al dan niet binnen afgeschermde communities).

ncsc en dat nieuwe joint cybercrime gaan op deze manier niet werken, wanneer gaan ze dat zelf doorhebben? ooh wacht... onderdeel van een niet functionele regering... nevermind!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.