CVD en security.txt

CVD en Security.txt

Regelmatig worden er kwetsbaarheden in ict-producten en -diensten ontdekt, en ook in de ict-omgeving van jouw instelling kunnen kwetsbaarheden of misconfiguraties sluipen. Zoals we bij HALON hebben gezien is het heel effectief om uitnodigend te zijn richting hackers om deze kwetsbaarheden netjes te melden om erger te voorkomen. Om te zorgen dat het duidelijk is hoe en onder welke voorwaarden hackers bij jou kunnen aankloppen, moedigt SURF organisaties aan om een Coordinated Vulnerability Disclosure (CVD) statement te publiceren. Om vervolgens iets met mogelijke meldingen van hackers te kunnen doen, is een doordacht CVD-beleid en proces van essentieel belang.

Stappenplan voor het opzetten van een effectief CVD-proces:

  • Stel CVD beleid op: Begin met het definiëren van de doelen van je CVD-beleid. Dit omvat het bepalen van de scope van systemen die binnen het beleid vallen, welke technieken melders (niet) mogen gebruiken, en hoe meldingen verwerkt zullen worden. Maak duidelijk hoe je organisatie met melders omgaat, bijvoorbeeld met betrekking tot anonimiteit, berichtgeving en mogelijke beloningen. Bekijk de voorbeelden van SURF's Coordinated Vulnerability Disclosure en responsibledisclosure.nl.
  • Publiceer je CVD-beleid: Nadat je beleid is opgesteld, is het van belang dit toegankelijk en zichtbaar te maken. Dit doe je meestal vindbaar op je website (https://www.surf.nl/en/coordinated-vulnerability-disclosure). Daarnaast is het de norm om je CVD beleid en contactgegevens in een security.txt bestand te publiceren. Dit zorgt ervoor dat hackers op een standaard-plek kunnen kijken en verlaagt de drempel om iets (geautomatiseerd) te melden. Een voorbeeld hiervan is te vinden op https://surf.nl/.well-known/security.txt. Je kan je eigen security.txt genereren op securitytxt.org.
  • Uitvoering:
    • Capaciteit: Reserveer interne capaciteit om meldingen effectief en tijdig te kunnen behandelen. Zorg voor een specifiek team of afdeling die de expertise heeft om meldingen correct te verwerken.
    • Meldingen verwerken: Zorg voor een proces voor het ontvangen en valideren van meldingen. Stuur bij ontvangst direct een bevestiging aan de melder. Vaak zal een melding moeten worden doorgezet naar een ander team dus zorg voor een manier om voortgang van een melding bij te houden.
    • Probleem oplossen: Na validatie van een melding, onderneem je actie om de kwetsbaarheid aan te pakken. Houd de melder op de hoogte van de voortgang en eventuele oplossingen.
    • Terugkoppeling: Communiceer transparant naar de melder over de voortgang en oplossingen. Deze open communicatie versterkt het vertrouwen en bevordert de samenwerking.

Overweeg ook het opzetten van een "Hall of Fame" om melders te erkennen en te belonen voor hun bijdragen, zoals te zien is bij SURF of de Universiteit Twente. Zeker voor (buitenlandse) hackers die een carrière in cybersecurity opbouwen is erkenning die ze kunnen delen (al dan niet publiek) een belangrijke motivatie.

Een doordacht CVD-beleid vergroot de digitale weerbaarheid en veiligheid van organisaties. Door samen te werken met de bredere hackersgemeenschap kunnen we gezamenlijk streven naar een veiliger digitaal landschap. Voor verdere details en best practices verwijzen we naar de CVD-leidraad van het NCSC.

Tekst: Joost Gadellaa, technisch productmanager Security Techniek.

Gerelateerde artikelen

Cyberweerbaarheid en SURF-diensten

Hoe zorg je voor een veilige digitale werk- en leeromgeving? SURF helpt – onder andere – door diensten aan te bieden die jouw instelling veilig houden. Per SURF-dienst is aangegeven...

Een norm voor de vorm?

Wat dragen normen bij aan de informatiebeveiliging in onze sector? Hoe kijken we naar deze normen? Moeten er meer regels bij of is er juist behoefte aan iets anders? In...

Thema's