CVD en security.txt
Regelmatig worden er kwetsbaarheden in ict-producten en -diensten ontdekt, en ook in de ict-omgeving van jouw instelling kunnen kwetsbaarheden of misconfiguraties sluipen.
In ICT-producten en -diensten worden regelmatig kwetsbaarheden ontdekt. Ook in de ICT-omgeving van jouw instelling kunnen fouten of misconfiguraties sluipen. Zoals bij HALON is gebleken werkt het goed om hackers uit te nodigen kwetsbaarheden netjes te melden. Zo voorkom je erger.
Om duidelijk te maken hoe en onder welke voorwaarden hackers bij jou kunnen aankloppen, moedigt SURF instellingen aan om een Coordinated Vulnerability Disclosure (CVD)-statement te publiceren. Om meldingen goed te kunnen afhandelen, is een doordacht CVD-beleid en -proces een voorwaarde.
Stappenplan voor een effectief CVD-proces
1. Stel CVD-beleid op
Begin met het definiëren van de doelen van je CVD-beleid. Dit omvat het bepalen van de scope van systemen die binnen het beleid vallen, welke technieken melders (niet) mogen gebruiken, en hoe meldingen verwerkt zullen worden. Maak duidelijk hoe je organisatie met melders omgaat, bijvoorbeeld met betrekking tot anonimiteit, berichtgeving en mogelijke beloningen. Bekijk de voorbeelden van SURF's Coordinated Vulnerability Disclosure en responsibledisclosure.nl.
2. Publiceer je CVD-beleid
Nadat je beleid is opgesteld, is het van belang dit toegankelijk en zichtbaar te maken. Dit doe je meestal vindbaar op je website (https://www.surf.nl/en/coordinated-vulnerability-disclosure). Daarnaast is het de norm om je CVD-beleid en contactgegevens in een security.txt bestand te publiceren. Dit zorgt ervoor dat hackers op een standaard-plek kunnen kijken en verlaagt de drempel om iets (geautomatiseerd) te melden. Een voorbeeld hiervan is te vinden op https://surf.nl/.well-known/security.txt. Je kan je eigen security.txt genereren op securitytxt.org.
3. Zorg voor capaciteit
Reserveer voldoende interne capaciteit om meldingen op tijd en correct af te handelen. Richt een team of afdeling in met de juiste expertise.
4. Verwerk meldingen
Zorg voor een proces voor het ontvangen en valideren van meldingen. Stuur bij ontvangst direct een bevestiging aan de melder. Vaak zal een melding moeten worden doorgezet naar een ander team dus zorg voor een manier om voortgang van een melding bij te houden.
5. Los problemen op
Na validatie onderneem je actie om de kwetsbaarheid te verhelpen. Informeer de melder regelmatig over de voortgang en oplossingen.
6. Geef terugkoppeling
Communiceer transparant naar de melder over de voortgang en oplossingen. Deze open communicatie versterkt het vertrouwen en bevordert de samenwerking.
Hall of Fame
Overweeg ook het opzetten van een "Hall of Fame" om melders te erkennen en te belonen voor hun bijdragen, zoals te zien is bij SURF of de Universiteit Twente. Zeker voor (buitenlandse) hackers die een carrière in cybersecurity opbouwen is erkenning die ze kunnen delen (al dan niet publiek) een belangrijke motivatie.
Een doordacht CVD-beleid vergroot de digitale weerbaarheid en veiligheid van organisaties. Door samen te werken met de bredere hackersgemeenschap kunnen we gezamenlijk streven naar een veiliger digitaal landschap. Voor verdere details en best practices verwijzen we naar de CVD-leidraad van het NCSC.
Tekst: Joost Gadellaa, technisch productmanager Security Techniek.
