088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

Waarom een responsible disclosure belangrijk is voor uw bedrijf

Een responsible disclosure. Wat is dit eigenlijk? En waarom zal dit een waardevolle toevoeging kunnen zijn aan uw bedrijf en uw bedrijfsvoering? In dit artikel spoelen we langs het stuk waarom security belangrijk is en nemen we u mee in een van de vele handvatten waarmee u het securityniveau van uw bedrijf naar een hoger niveau kan tillen.

Wat is responsible disclosure

Responsible disclosures (RD), ook wel coordinated vulnerability disclosures genoemd, zijn overeenkomsten. Een overeenkomst tussen een partij die faciliteert en een partij die onderzoekt. De onderzoekende partij vindt een kwetsbaarheid, of vat het responsible disclosure beleid op als een uitnodiging om een kwetsbaarheid te vinden. De faciliterende partij laat de onderzoekende partij haar gang gaan op haar digitale systemen. Uiteraard moet de onderzoekende partij zich aan de kaders van de wetgeving houden en de richtlijnen zoals die zijn beschreven in de RD.

Door gebruik te maken van een responsible disclosure kunt u dus mogelijk op de hoogte worden gesteld van kwetsbaarheden in uw systemen. Door middel van de overeenkomst krijgt u de kans om de kwetsbaarheid op te lossen voordat deze openbaar wordt gemaakt, al dan niet door uzelf. De onderzoekende partij krijgt in ruil voor het melden immuniteit, mits ze de ‘spelregels’ hebben gevolgd.

Het doel van responsible disclosure

Het doel van een responsible disclosure beleid is het verhogen van het securityniveau van digitale systemen door kennis over kwetsbaarheden te delen. De voor de systemen verantwoordelijke partij kan de kwetsbaarheden dan verhelpen, voordat deze publiekelijk worden gemaakt en actief misbruikt kunnen worden door kwaadwillenden. Dit laatste kan resulteren in grote, soms onherstelbare, schade. Security-onderzoekers willen meestal het vinden van de kwetsbaarheid op hun ‘track record’, oftewel ze willen publiekelijke erkenning voor hun gevonden kwetsbaarheden. Vaak krijgen zij nog een aanvullende bonus. Dit kan resulteren in een T-shirt (overheid), hall-of-fame (universiteiten) of kan om grote geldbedragen gaan (Google, Tesla, etc.)

Het voordeel van responsible disclosure

Het voordeel van het publiceren van een responsible disclosure is dat er verschillende partijen, elk met een andere expertise, zullen kijken naar de ingeregelde beveiliging. Het beleid stimuleert de ‘white hat’ onderzoekers (onderzoekers met toestemming om te hacken) om te kijken naar uw bedrijf, daar waar kwaadwillenden niet extra gestimuleerd zullen worden door een responsible disclosure beleid, gezien zij geen goede bedoelingen hebben. De grote toegevoegde waarde is dat hackers, zonder kwade wil, met behulp van een responsible disclosure melding kunnen maken van de kwetsbaarheid zonder de consequenties van bijv. computervredebreuk te hoeven ervaren.

Verschillende type disclosures

In principe zijn er 3 verschillende disclosures:

  • Full disclosure
    • Hiermee wordt de kwetsbaarheid direct na het vinden bekend gemaakt aan de wereld.
  • Non disclosure
    • Hiermee wordt de kwetsbaarheid geheim gehouden.
  • Responsible disclosure
    • Hiermee wordt de kwetsbaarheid bekend gemaakt aan de partij die het betreft. Daarmee krijgt deze partij de mogelijkheid de kwetsbaarheid te repareren voor deze bekend wordt gemaakt. Zo wordt de kwetsbaarheid tussentijds niet uitgebuit, wat het geval zal zijn bij full disclosure.

U zal begrijpen dat full disclosure en non disclosure  niet optimaal zijn. Wees de nadelige gevolgen van deze opties dan ook voor en zorg dat u uw digitale systemen op een verantwoorde wijze beter beveiligd, waarmee u gelijktijdig de toekomstige ‘white hat’ hackers (die u later weer zullen helpen) een kans geeft het vak goed te leren.

Bent u benieuwd welke tips wij u nog meer kunnen geven om uw IT-security op orde te stellen? Wij kunnen u helpen met het creëren van quick wins, waarmee u een deel van uw laaghangend fruit kan afschermen voor kwaadwillenden. Neem hiervoor contact op met de IT advisory afdeling van Crowe Peak.

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 contact@crowe-peak.nl