Hackers die beveiligingslekken in applicaties of websites willen melden moeten dat op verantwoorde wijze doen, aldus het Nationaal Cyber Security Center (NCSC). Deze week werd een 26-jarige man gearresteerd op verdenking van het inbreken in een server van het Groene Hart Ziekenhuis in Gouda, waarbij ook bestanden werden gestolen. Het lek in de ICT-infrastructuur van het ziekenhuis werd uiteindelijk via de media bekendgemaakt.
"In de afgelopen weken is er sprake geweest van een aantal incidenten waarbij ICT-kwetsbaarheden en de wijze waarop deze bekend worden gemaakt een grote rol spelen. Hierbij signaleert het Nationaal Cyber Security Centrum (NCSC) dat er in de ICT-community sprake is van onrust over het melden van kwetsbaarheden", aldus het NCSC.
Spelregels
Het NCSC stelt dat de samenwerking met de ICT-community van het grootste belang is, maar dat 'Responsible Disclosure' daarbij het uitgangspunt is. Bij responsible disclosure staat voorop dat partijen een afspraak maken over het melden van de kwetsbaarheid en hoe hier vervolgens mee om wordt gegaan.
Een partij die een responsible disclosure policy uitdraagt kan bijvoorbeeld aangeven in principe geen aangifte te doen als aan een aantal met elkaar afgesproken spelregels wordt voldaan, aldus het NCSC.
"Een voorbeeld van een spelregel is het afspreken van een redelijke termijn om de kwetsbaarheid op te lossen. Op deze wijze wordt op constructieve wijze bijgedragen aan het verhogen van de veiligheid. Hierbij kan ook worden afgesproken op welke wijze de kwetsbaarheid vervolgens in de openbaarheid, de disclosure, wordt gebracht."
Schade
Een ander punt wat centraal staat bij responsible disclosure is het niet onnodig aanrichten van schade of verder gaan dan het aantonen van de kwetsbaarheid. "In een dergelijk geval is het niet gepast om onnodig grote databestanden te ontvreemden als al is aangetoond dat het databestand benaderbaar is."
Verder wijst het NCSC ook naar de proportionaliteit van de ingezette middelen. "Denk hierbij bijvoorbeeld aan het plaatsen van een eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen."
Full-disclosure
Veel hackers houden zich volgens de overheidsinstantie niet aan het verantwoord melden van lekken, maar gaan meteen over tot full disclosure. "Hierbij maakt iemand die kennis heeft van een kwetsbaarheid, deze publiek om op deze wijze de partij die het betreft te dwingen om deze kwetsbaarheid te verhelpen."
Aangezien het lek in dit geval nog in de systemen aanwezig is, zorgt de openbaarmaking voor een mogelijk veiligheidsrisico. "Voor het NCSC staat het samenwerken aan de veiligheid van informatiesystemen voorop. Het samenwerken binnen gemaakte afspraken van responsible disclosure geniet daarbij de voorkeur."
Deze posting is gelocked. Reageren is niet meer mogelijk.