Als het gaat om responsible disclosure en ethische hackers blijkt dat eigenlijk alle betrokken partijen, van politie en bedrijven tot de hackers zelf en media die kwetsbaarheden melden, dit een goed idee vinden. Dat werd duidelijk tijdens een paneldiscussie die op de ONE Conferentie van het Nationaal Cyber Security Center plaatsvond. "We staan vooral aan de kant van de ethische hackers. Zij zorgen ervoor dat we minder werk krijgen en de wereld veiliger wordt. Ik zie ethische hackers dan ook niet aan de andere kant staan", aldus Peter Zinn, strategisch adviseur van het Team High Tech Crime (THTC) van de politie.
Toch zijn niet alle bedrijven even blij als ze door een hacker worden benaderd dat er bijvoorbeeld een kwetsbaarheid in hun website aanwezig is. Zo kunnen hackers boze reacties tegemoet zien of wordt er met juridische stappen gedreigd. Volgens Katie Moussouris, Chief Policy Officer bij HackerOne, ondergaan veel van dit soort bedrijven de vijf fases van "vulnerability response grief". In de eerste fase wordt er nog ontkend dat er een probleem is. Later wordt er geprobeerd om tijd te winnen en de laatste fase is de acceptatiefase. "Daar wordt je energie het beste gebruikt voor de omgang met kwetsbaarheden en de hackergemeenschap."
Er zijn verschillende platformen waar hackers en onderzoekers geld krijgen voor het melden van kwetsbaarheden. Moussouris, die via HackerOne zelf zo'n platform aanbiedt, merkt op dat er niet altijd geld bij betrokken moet zijn, maar dat het wel als aanmoediging kan werken. Het is in ieder geval belangrijk dat er een responsible disclosurebeleid wordt gehanteerd waarin staat hoe kwetsbaarheden kunnen worden gemeld en hoe hier mee wordt omgegaan, vertelde ze.
Tijdens de paneldiscussie liet een medewerker van een bedrijf weten dat de communicatieafdeling het niet zag zitten om een artikel over hackers en beveiligingslekken te plaatsen, omdat ze alleen positief nieuws willen. Hans de Vries, hoofd van het NCSC, reageerde daarop door te stellen dat responsible disclosure een win-win-situatie is. "Het is goed nieuws dat iemand zo betrokken is om jouw systemen veiliger te maken. Het is belangrijk dat deze mensen hun tijd op een goede in plaats van een negatieve manier gebruiken. Ik zou ze dan ook eerder inhuren dan het OM op ze afsturen." Ook het NCSC krijgt meldingen van kwetsbaarheden, iets waar De Vries blij mee is. "En dat zouden alle partijen moeten zijn die zo'n melding ontvangen."
Een andere reden die bedrijven soms geven om geen responsible disclosurebeleid te plaatsen is omdat ze dit als een uitnodiging voor hackers zien om hun systemen te hacken, stelde Moussouris. Als reactie op dit soort bedrijven gebruikte ze een quote van een vriend. "Als je op internet zit dan wordt er gekeken of er kwetsbaarheden in je systemen zitten. Het kan alleen zijn dat je de melding niet ontvangt." Door een disclosurebeleid te plaatsen kunnen bedrijven aangeven wat wel en niet is toegestaan en is het aan de hackers om die regels te volgen, wat uiteindelijk het leven voor de bedrijven makkelijker maakt. "Het plaatsen van een responsible disclosurebeleid is geen uitnodiging om je te hacken, maar een uitnodiging om kwetsbaarheden in je website te melden", besloot Moussouris de discussie.
Deze posting is gelocked. Reageren is niet meer mogelijk.