image

Bedrijven tekenen manifest voor omgaan met veiligheidslekken

donderdag 12 mei 2016, 16:33 door Redactie, 5 reacties

Verschillende grote Nederlandse bedrijven, waaronder banken, energiemaatschappijen en telecomaanbieders, hebben vandaag een manifest getekend voor het omgaan met veiligheidslekken. Het Coordinated Vulnerability Disclosure Manifesto (pdf) is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ict-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten of al hebben ingericht.

Het manifesto is een initiatief van de Rabobank en CIO Platform Nederland. Vandaag werd het ondertekend door onder andere ABN Amro, Eneco, Honeywell, ING, KPN, NS, NUON, NXP, Phillips, PostNL, Rabobank, SAAB, Schuberg Phillis, SNS Bank, Stedin, Surfnet, Tennet, TNO en Vodafone. Volgens de initiatiefnemers kan samenwerking tussen organisaties en de cybersecuritygemeenschap behulpzaam zijn bij het vinden en oplossen van kwetsbaarheden.

Het manifest beoogt dan ook partijen bewuster te maken van het belang van een goede samenwerking tussen organisaties en de ict-gemeenschap om zo de beveiliging van informatiesystemen op het juiste niveau te houden. De organisaties die het manifest tekenen bieden derden de mogelijkheid om gevonden kwetsbaarheden te melden via een eenvoudige procedure.

"Middels dit manifest bieden we security onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels", zegt Wim Hafkamp, Chief Information Security Officer bij Rabobank.

Hafkamp stelt dat organisaties op deze manier in een dialoog met bekende en onbekende beveiligingsonderzoekers komen. "We zijn dan ook blij dat we vandaag met circa 30 organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk." Geïnteresseerde organisaties kunnen ook na vandaag het manifest ondertekenen.

Reacties (5)
12-05-2016, 17:55 door karma4
Meldpunt data lekken is wettelijk geregeld. AP
12-05-2016, 20:35 door [Account Verwijderd]
[Verwijderd]
13-05-2016, 08:35 door karma4
OpenXor, goede reactie. Dat waar ik waarop probeer te attenderen is dat deze andere houding nu pas komt nadat die wettelijke regelng met het AP er is. De bedrijven/organisaties hadden het allemaal veel eerder kunnen doen als onderdeel van de PDCA cyclus wat via zelfregulatie controles BS7799 (1995 officieel vastgelegd) al als beleid gold.

Tot nu toe koos men voor het goedkopere negere dan wel de melder/onderzoeker aanklagen. Een voorbeeld (er zijn er veel meer): http://arstechnica.com/security/2015/08/researchers-reveal-electronic-car-lock-hack-after-2-year-injunction-by-volkswagen/. Een responsible disclosure beleid is ook al vele jaren iets als "wel aardig om te hebben" https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html. Is uit 2013 na wat akkefietjes.
13-05-2016, 10:10 door Anoniem
@karma4
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
13-05-2016, 11:06 door Anoniem
Door Anoniem: @karma4
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.

Kern hiervan is ook samenwerking. Ik merk regelmatig dat ik met een melding zit voor gekochte software waarvan ik weet dat het ook bij andere organisaties wordt gebruikt. De melder hoopt door bij ons te melden dat het opgelost wordt, maar dat duurt bij sommige leveranciers nog best wel lang. Al die tijd zijn de andere organisaties kwetsbaar. De melder gaat niet overal kijken of zij de software misschien ook gebruiken. Volgens de standaard regeling kan ik dat ook niet zelf gaan melden bij die andere partijen (ik weet vaak ook niet of ze die software gebruiken).

Samenwerken en (delen van) informatie over meldingen delen, is in dit kader een goede, extra stap.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.