Bedrijven tekenen manifest voor omgaan met veiligheidslekken
Verschillende grote Nederlandse bedrijven, waaronder banken, energiemaatschappijen en telecomaanbieders, hebben vandaag een manifest getekend voor het omgaan met veiligheidslekken. Het Coordinated Vulnerability Disclosure Manifesto (pdf) is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ict-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten of al hebben ingericht.
Het manifesto is een initiatief van de Rabobank en CIO Platform Nederland. Vandaag werd het ondertekend door onder andere ABN Amro, Eneco, Honeywell, ING, KPN, NS, NUON, NXP, Phillips, PostNL, Rabobank, SAAB, Schuberg Phillis, SNS Bank, Stedin, Surfnet, Tennet, TNO en Vodafone. Volgens de initiatiefnemers kan samenwerking tussen organisaties en de cybersecuritygemeenschap behulpzaam zijn bij het vinden en oplossen van kwetsbaarheden.
Het manifest beoogt dan ook partijen bewuster te maken van het belang van een goede samenwerking tussen organisaties en de ict-gemeenschap om zo de beveiliging van informatiesystemen op het juiste niveau te houden. De organisaties die het manifest tekenen bieden derden de mogelijkheid om gevonden kwetsbaarheden te melden via een eenvoudige procedure.
"Middels dit manifest bieden we security onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels", zegt Wim Hafkamp, Chief Information Security Officer bij Rabobank.
Hafkamp stelt dat organisaties op deze manier in een dialoog met bekende en onbekende beveiligingsonderzoekers komen. "We zijn dan ook blij dat we vandaag met circa 30 organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk." Geïnteresseerde organisaties kunnen ook na vandaag het manifest ondertekenen.
Tot nu toe koos men voor het goedkopere negere dan wel de melder/onderzoeker aanklagen. Een voorbeeld (er zijn er veel meer): http://arstechnica.com/security/2015/08/researchers-reveal-electronic-car-lock-hack-after-2-year-injunction-by-volkswagen/. Een responsible disclosure beleid is ook al vele jaren iets als "wel aardig om te hebben" https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html. Is uit 2013 na wat akkefietjes.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Veel van de organisaties die dit manifest hebben ondertekend, hadden al langer een Responsible Disclosure beleid.
Kern hiervan is ook samenwerking. Ik merk regelmatig dat ik met een melding zit voor gekochte software waarvan ik weet dat het ook bij andere organisaties wordt gebruikt. De melder hoopt door bij ons te melden dat het opgelost wordt, maar dat duurt bij sommige leveranciers nog best wel lang. Al die tijd zijn de andere organisaties kwetsbaar. De melder gaat niet overal kijken of zij de software misschien ook gebruiken. Volgens de standaard regeling kan ik dat ook niet zelf gaan melden bij die andere partijen (ik weet vaak ook niet of ze die software gebruiken).
Samenwerken en (delen van) informatie over meldingen delen, is in dit kader een goede, extra stap.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
