Bedrijven tekenen manifest voor omgaan met veiligheidslekken
Verschillende grote Nederlandse bedrijven, waaronder banken, energiemaatschappijen en telecomaanbieders, hebben vandaag een manifest getekend voor het omgaan met veiligheidslekken. Het Coordinated Vulnerability Disclosure Manifesto (pdf) is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ict-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten of al hebben ingericht.
Het manifesto is een initiatief van de Rabobank en CIO Platform Nederland. Vandaag werd het ondertekend door onder andere ABN Amro, Eneco, Honeywell, ING, KPN, NS, NUON, NXP, Phillips, PostNL, Rabobank, SAAB, Schuberg Phillis, SNS Bank, Stedin, Surfnet, Tennet, TNO en Vodafone. Volgens de initiatiefnemers kan samenwerking tussen organisaties en de cybersecuritygemeenschap behulpzaam zijn bij het vinden en oplossen van kwetsbaarheden.
Het manifest beoogt dan ook partijen bewuster te maken van het belang van een goede samenwerking tussen organisaties en de ict-gemeenschap om zo de beveiliging van informatiesystemen op het juiste niveau te houden. De organisaties die het manifest tekenen bieden derden de mogelijkheid om gevonden kwetsbaarheden te melden via een eenvoudige procedure.
"Middels dit manifest bieden we security onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels", zegt Wim Hafkamp, Chief Information Security Officer bij Rabobank.
Hafkamp stelt dat organisaties op deze manier in een dialoog met bekende en onbekende beveiligingsonderzoekers komen. "We zijn dan ook blij dat we vandaag met circa 30 organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk." Geïnteresseerde organisaties kunnen ook na vandaag het manifest ondertekenen.
Tot nu toe koos men voor het goedkopere negere dan wel de melder/onderzoeker aanklagen. Een voorbeeld (er zijn er veel meer): http://arstechnica.com/security/2015/08/researchers-reveal-electronic-car-lock-hack-after-2-year-injunction-by-volkswagen/. Een responsible disclosure beleid is ook al vele jaren iets als "wel aardig om te hebben" https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html. Is uit 2013 na wat akkefietjes.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Kern hiervan is ook samenwerking. Ik merk regelmatig dat ik met een melding zit voor gekochte software waarvan ik weet dat het ook bij andere organisaties wordt gebruikt. De melder hoopt door bij ons te melden dat het opgelost wordt, maar dat duurt bij sommige leveranciers nog best wel lang. Al die tijd zijn de andere organisaties kwetsbaar. De melder gaat niet overal kijken of zij de software misschien ook gebruiken. Volgens de standaard regeling kan ik dat ook niet zelf gaan melden bij die andere partijen (ik weet vaak ook niet of ze die software gebruiken).
Samenwerken en (delen van) informatie over meldingen delen, is in dit kader een goede, extra stap.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?