Bedrijven tekenen manifest voor omgaan met veiligheidslekken
Verschillende grote Nederlandse bedrijven, waaronder banken, energiemaatschappijen en telecomaanbieders, hebben vandaag een manifest getekend voor het omgaan met veiligheidslekken. Het Coordinated Vulnerability Disclosure Manifesto (pdf) is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ict-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten of al hebben ingericht.
Het manifesto is een initiatief van de Rabobank en CIO Platform Nederland. Vandaag werd het ondertekend door onder andere ABN Amro, Eneco, Honeywell, ING, KPN, NS, NUON, NXP, Phillips, PostNL, Rabobank, SAAB, Schuberg Phillis, SNS Bank, Stedin, Surfnet, Tennet, TNO en Vodafone. Volgens de initiatiefnemers kan samenwerking tussen organisaties en de cybersecuritygemeenschap behulpzaam zijn bij het vinden en oplossen van kwetsbaarheden.
Het manifest beoogt dan ook partijen bewuster te maken van het belang van een goede samenwerking tussen organisaties en de ict-gemeenschap om zo de beveiliging van informatiesystemen op het juiste niveau te houden. De organisaties die het manifest tekenen bieden derden de mogelijkheid om gevonden kwetsbaarheden te melden via een eenvoudige procedure.
"Middels dit manifest bieden we security onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels", zegt Wim Hafkamp, Chief Information Security Officer bij Rabobank.
Hafkamp stelt dat organisaties op deze manier in een dialoog met bekende en onbekende beveiligingsonderzoekers komen. "We zijn dan ook blij dat we vandaag met circa 30 organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk." Geïnteresseerde organisaties kunnen ook na vandaag het manifest ondertekenen.
Tot nu toe koos men voor het goedkopere negere dan wel de melder/onderzoeker aanklagen. Een voorbeeld (er zijn er veel meer): http://arstechnica.com/security/2015/08/researchers-reveal-electronic-car-lock-hack-after-2-year-injunction-by-volkswagen/. Een responsible disclosure beleid is ook al vele jaren iets als "wel aardig om te hebben" https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html. Is uit 2013 na wat akkefietjes.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Kern hiervan is ook samenwerking. Ik merk regelmatig dat ik met een melding zit voor gekochte software waarvan ik weet dat het ook bij andere organisaties wordt gebruikt. De melder hoopt door bij ons te melden dat het opgelost wordt, maar dat duurt bij sommige leveranciers nog best wel lang. Al die tijd zijn de andere organisaties kwetsbaar. De melder gaat niet overal kijken of zij de software misschien ook gebruiken. Volgens de standaard regeling kan ik dat ook niet zelf gaan melden bij die andere partijen (ik weet vaak ook niet of ze die software gebruiken).
Samenwerken en (delen van) informatie over meldingen delen, is in dit kader een goede, extra stap.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Forensisch software-engineer
Nederlands Forensisch Instituut
Bij het team Forensische Software-engineering ontwikkel jij diverse complexe applicaties, die binnen en buiten het NFI gebruikt worden voor opsporing en bewijsvoering. Jij werkt mee aan het uitwerken en beschikbaar maken van nieuwe forensische analysetechnieken op het gebied van datarecovery, data-analyse, DNA, chemische analyses, (kogel)krassporen, verkeersongevallen, cryptografie, exploits en statistiek.
Netwerkengineer
Nederlands Forensisch Instituut
Van het kraken van versleuteld telefoonverkeer van criminelen en DNA-onderzoek in een geruchtmakende moordzaak, tot het onderzoeken van wapens en munitie die gevonden zijn op een plaats delict: het werk van het NFI doet ertoe. Als netwerkengineer heb jij hierin een belangrijk aandeel. Met jouw passie voor ICT en een bovengemiddeld bewustzijn van het begrip security, zorg jij voor een optimaal functionerend en veilig netwerk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?