Bedrijven tekenen manifest voor omgaan met veiligheidslekken
Verschillende grote Nederlandse bedrijven, waaronder banken, energiemaatschappijen en telecomaanbieders, hebben vandaag een manifest getekend voor het omgaan met veiligheidslekken. Het Coordinated Vulnerability Disclosure Manifesto (pdf) is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ict-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten of al hebben ingericht.
Het manifesto is een initiatief van de Rabobank en CIO Platform Nederland. Vandaag werd het ondertekend door onder andere ABN Amro, Eneco, Honeywell, ING, KPN, NS, NUON, NXP, Phillips, PostNL, Rabobank, SAAB, Schuberg Phillis, SNS Bank, Stedin, Surfnet, Tennet, TNO en Vodafone. Volgens de initiatiefnemers kan samenwerking tussen organisaties en de cybersecuritygemeenschap behulpzaam zijn bij het vinden en oplossen van kwetsbaarheden.
Het manifest beoogt dan ook partijen bewuster te maken van het belang van een goede samenwerking tussen organisaties en de ict-gemeenschap om zo de beveiliging van informatiesystemen op het juiste niveau te houden. De organisaties die het manifest tekenen bieden derden de mogelijkheid om gevonden kwetsbaarheden te melden via een eenvoudige procedure.
"Middels dit manifest bieden we security onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels", zegt Wim Hafkamp, Chief Information Security Officer bij Rabobank.
Hafkamp stelt dat organisaties op deze manier in een dialoog met bekende en onbekende beveiligingsonderzoekers komen. "We zijn dan ook blij dat we vandaag met circa 30 organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk." Geïnteresseerde organisaties kunnen ook na vandaag het manifest ondertekenen.
Tot nu toe koos men voor het goedkopere negere dan wel de melder/onderzoeker aanklagen. Een voorbeeld (er zijn er veel meer): http://arstechnica.com/security/2015/08/researchers-reveal-electronic-car-lock-hack-after-2-year-injunction-by-volkswagen/. Een responsible disclosure beleid is ook al vele jaren iets als "wel aardig om te hebben" https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html. Is uit 2013 na wat akkefietjes.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Kern hiervan is ook samenwerking. Ik merk regelmatig dat ik met een melding zit voor gekochte software waarvan ik weet dat het ook bij andere organisaties wordt gebruikt. De melder hoopt door bij ons te melden dat het opgelost wordt, maar dat duurt bij sommige leveranciers nog best wel lang. Al die tijd zijn de andere organisaties kwetsbaar. De melder gaat niet overal kijken of zij de software misschien ook gebruiken. Volgens de standaard regeling kan ik dat ook niet zelf gaan melden bij die andere partijen (ik weet vaak ook niet of ze die software gebruiken).
Samenwerken en (delen van) informatie over meldingen delen, is in dit kader een goede, extra stap.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.