Wilt u de uitdaging aangaan en Responsible Disclosure als beleid invoeren in uw organisatie? Of heeft u te maken met een (ethisch) hacker die een responsible disclosure melding wil doen, maar weet u niet hoe u hiermee om moet gaan? Neem dan geen onnodige risico’s. Responsible disclosure is een middel dat u kan helpen bij het bevorderen van uw cybersecurity.

Hackers en cyber security onderzoekers kunnen kwetsbaarheden die zij in uw systeem aantreffen bij u melden, waardoor u deze tijdig kunt oplossen. Zo voorkomt u onnodige datalekken of misbruik van uw systeem door kwaadwillenden.

Hoewel responsible disclosure spannend klinkt, is het vooral een kwestie van goede afspraken maken tussen u en de personen die uw systemen, producten of diensten onderzoeken. Dit kan door middel van een goed en duidelijk responsible disclosure beleid.

Responsible Disclosure of Bug Bounty

Responsible disclosure heeft veel weg van een bug bounty program, behalve dat betaling niet per se een voorwaarde is bij responsible disclosure. Responsible disclosure gaat uit van de goede bedoelingen van de ethisch hacker in kwestie. Deze moet op een verantwoorde manier het onderzoek uitvoeren en als allereerste uw organisatie op de hoogte stellen van zijn vondsten. Ook mag een ethisch hacker niet verder gaan dan nodig om de kwetsbaarheid vast te stellen.

Zo mogen geen gegevens worden gedownload of aangepast. Of een ethisch hacker erkenning wil kan per geval verschillen, en ook de vorm van erkenning kan samen worden bepaald. De grenzen van het gedrag dat u van de ethisch hacker toelaatbaar vindt, legt u vast in het responsible disclosure beleid. Daar maakt u ook afspraken over hoe de hacker mag verwachten dat u met hem en zijn melding omgaat.

Van beleid naar praktijk

Het hebben van een goed responsible disclosure beleid is de eerste stap. Maar ook zonder responsible disclosure beleid kunt u geconfronteerd worden met een goedwillende hacker die u wil informeren over gevonden kwetsbaarheden. Wat gebeurt er als een hacker een mail stuurt naar uw organisatie, of belt met de boodschap dat hij een kwetsbaarheid in uw systemen heeft gevonden?

We zien vaak dat organisaties niet op dat soort berichten zijn voorbereid. Wanneer uw organisatie te vaak geen gehoor geeft aan waarschuwingen, loopt u het risico dat de hacker zijn bevindingen op andere wijze naar buiten brengt, met alle daaropvolgende gevolgen voor uw organisatie.

Goede procedures omtrent responsible disclosure zijn dan ook voor iedere organisatie aan te raden. U weet immers nooit wanneer een ethisch hacker een kwetsbaarheid in een informatiesysteem van uw organisatie aantreft.

Met de juiste training en informatie kan uw personeel snel de inschatting maken of u met een legitieme ethisch hacker te maken heeft en zo de juiste procedure inzetten om de hacker met de juiste mensen in uw organisatie te verbinden. Zo lost u uw probleem op, is uw informatiesysteem veiliger, zijn uw klanten beter beschermd en de hacker blij dat hij een probleem heeft kunnen helpen verhelpen.

Meer hierover weten?

Nathalie Falot

Senior Juridisch Adviseur