Veel bedrijven die systemen voor de vitale infrastructuur ontwikkelen hebben geen security@ e-mailadres waar beveiligingsonderzoekers hen op kunnen bereiken in het geval er kwetsbaarheden worden ontdekt. Maar zowel met als zonder dit e-mailadres blijken leveranciers meldingen van lekken te negeren.

Dat meldt beveiligingsbedrijf Digital Bond. Het bedrijf houdt zich bezig met het onderzoeken van SCADA- (supervisory control and data acquisition) en ICS- (Industrial control system) systemen. Onlangs ontdekte het bedrijf een kwetsbaarheid waardoor aanvallers de werking van industriële en vitale systemen zouden kunnen beïnvloeden. De onderzoekers besloten alle leverancier die de kwetsbare software gebruiken te benaderen.

In totaal werden 32 leveranciers gemaild op een security@ e-mailadres. Slechts drie van deze e-mails kwamen aan, bij de overige 29 leveranciers bleek het e-mailadres niet te bestaan. Vervolgens werd de leverancier via het standaard support@ e-mailadres benaderd. Twee maanden later heeft nog geen één van de getroffen leveranciers een reactie gegeven, op een geautomatiseerd ticket na. Reid Wightman van Digital Bond roept leveranciers dan ook op om de afwerking van bugmeldingen te verbeteren.

"De sleutel om met onderzoekers om te gaan is echt communicatie", stelt hij. Bedrijven die nog geen security@ e-mailadres hebben doen het dan ook verkeerd, aldus Wightman. "Er heerst nog steeds angst onder leveranciers dat het hebben van een security-e-mailadres aangeeft dat er beveiligingsproblemen zullen zijn. Zet je erover heen." Het omgaan met bugmeldingen zou juist de houding en de volwassenheid van de leverancier aantonen. Wightman besluit door te zeggen dat er al tal van bedrijven zijn die dit soort zaken goed oppakken, maar dat er nog maar weinig ICS-bedrijven zijn die dit doen.