Aan de slag met responsible disclosure-beleid

Ga je aan de slag met het responsible disclosure-beleid van je organisatie? Dan zijn er een aantal belangrijke zaken die je voor de vinder, maar ook binnen je organisatie moet vaststellen. Hieronder een aantal praktische tips of overwegingen die je daarbij kunnen helpen.

• Maak het vinders gemakkelijk om kwetsbaarheden te melden

  Zorg ervoor dat het gemakkelijk is om kwetsbaarheden bij jouw organisatie te melden. Dit kun je doen door hiervoor een webformulier beschikbaar te stellen of een vast e-mailadres waarop kwetsbaarheden gemeld kunnen worden. Laat deze duidelijk zien op je bedrijfswebsite zodat kwetsbaarheden snel en zonder veel moeite gemeld kunnen worden. Houdt er overigens wel rekening mee dat het meldformulier en/of e-mailadres dagelijks gecontroleerd wordt, het liefst door een vaste werknemer binnen je bedrijf.

• Gebruik security.txt

  Om snel en discreet op de hoogte te worden gesteld van een beveiligingslekken, wordt aangeraden om gebruik te maken van security.txt. Door het toevoegen van een klein tekstbestand op jouw webserver geef je aan hoe en waar informatie te vinden is om een kwetsbaarheid te melden.

• Laat duidelijk zien wat je van de vinder verwacht en aan welke vereisten een melding van een kwetsbaarheid moet voldoen

  Binnen het responsible disclosure-beleid is het van groot belang dat je aangeeft op welke manier de vinder een kwetsbaarheid kan melden. Dit kun je doen door:

  • Duidelijk te omschrijven hoe en op welke manier je gecontacteerd wilt worden (bijvoorbeeld via een webformulier of versleutelde e-mail middels PGP of S/MIME).
  • Welke informatie in de melding moet worden opgenomen
  • Wat de vinder van de kwetsbaarheid mag verwachten en wat er vervolgens met de melding gebeurt

Organiseer afhandeling van meldingen

Ook is het belangrijk om binnen je organisatie een aantal punten te organiseren. Kwetsbaarheidsmeldingen moeten immers snel en en zorgvuldig worden behandeld.

• Inventariseer systemen en noteer contactgegevens van leveranciers

  Wanneer er een beveiligingslek wordt gemeld bij je organisatie is het erg belangrijk dat je een actueel en helder overzicht hebt van systemen die je gebruikt. Noteer daarbij de contactgegevens van de leveranciers en ook welke IT-dienstverleners een mogelijke rol kunnen spelen.

• Zorg voor genoeg draagvlak binnen je organisatie voor het RD-beleid

  De effectiviteit van het responsible disclosure-beleid hangt af van de mate waarin de aanpak gedragen is binnen jouw organisatie. Bepaal daarom bijvoorbeeld wie binnen het management een rol heeft en mandaat heeft. Vergeet ook vooral niet om de afdelingen communicatie en juridische zaken mee te nemen bij het opstellen van het beleid. Het niet goed afhandelen van meldingen kan namelijk tot imagoschade leiden en/of juridische gevolgen hebben.

• Bepaal wie de afhandeling van meldingen doet

  Bepaal of je zelf de binnengekomen kwetsbaarheden kan/wil beoordelen en behandelen of dat je dit door een externe partij moet laten uitvoeren.

• Test je RD-beleid om te achterhalen of de procedures naar behoren werken

  Tot slot is het belangrijk om je vastgestelde responsible disclosure-beleid te testen. Op die manier kom je er achter of alle procedures naar behoren werken, of binnengekomen meldingen tijdig worden opgepakt en je kunt waar nodig het beleid tijdig bijsturen.

Meer informatie

Ook zijn er meerdere online handige hulpmiddelen beschikbaar. Zo heeft Cyberveilig Nederland een handig stappenplan opgesteld om zelf op een succesvolle manier een verantwoord openbaarmaking beleid in te zetten. Het Nationaal Cyber Security Center (NCSC) heeft een document gepubliceerd over Coordinated Vulnerability Disclosure (CVD). Al geruime tijd voert het NCSC een beleid voor CVD. Dit beleid stond voorheen ook bekend als responsible disclosure. In dit document geven zij onder andere meer informatie en voorbeelden van teksten die bedrijven gebruiken op hun website.