Zes Nederlandse telecombedrijven hebben het afgelopen jaar 380 meldingen van gebruikers en hackers over mogelijke beveiligingslekken in ICT-systemen ontvangen, waarvan er uiteindelijk 75 hebben bijgedragen aan het op tijd verhelpen van een kwetsbaarheid.

Voor het verantwoord melden van lekken zijn de telco's een jaar geleden een speciaal meldpunt "responsible disclosure" gestart. De betrokken telecombedrijven zijn positief over de ervaringen met responsible disclosure, zo laat Nederland ICT weten. Responsible disclosure is het op verantwoorde wijze melden van mogelijke beveiligingsproblemen en kwetsbaarheden in ICT-systemen.

Voorwaarden

KPN, T-Mobile, Tele2, UPC, Vodafone en Ziggo hebben op hun eigen website een meldpunt waar gebruikers en hackers, eventueel anoniem, kwetsbaarheden kunnen melden. Afgesproken is dat aanbieders helder aangeven wat de voorwaarden zijn voor een responsible disclosure-melding. Zo wordt er nadrukkelijk gevraagd om de kwetsbaarheid niet met anderen te delen.

Op deze manier kunnen aanbieders een eventueel probleem eerst oplossen. Vanzelfsprekend geldt de strikte voorwaarde dat de melder geen misbruik maakt van de mogelijke zwakke plek. Als melders zich aan de spelregels houden, zal de aanbieder geen aangifte doen.

Meldingen

Bij de deelnemende telecombedrijven zijn in een jaar tijd ongeveer 75 meldingen gedaan die hebben bijgedragen aan het op tijd verhelpen van een kwetsbaarheid. Voor één kwetsbaarheid kwamen vaak meerdere meldingen binnen. In totaal zijn ongeveer 380 meldingen ontvangen waarvan een groot deel na verder onderzoek geen kwetsbaarheid bleek te zijn. De ervaringen die de sector heeft opgedaan, bespreekt zij met hackers om verder van elkaar te leren.