Manifest responsible disclosure getekend
Manifest responsible disclosure getekend
Thursday 12 May 2016 Vandaag ondertekenden circa 30 organisaties het Coordinated Vulnerability Disclosure Manifesto.
Dit manifest is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ICT-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten of al hebben ingericht. Met de ondertekening onderschrijven de deelnemende organisaties het belang van de inspanningen van onderzoekers en de hackergemeenschap om het internet en onze samenleving veiliger te maken. Het manifest is een initiatief van de Rabobank en het CIO Platform Nederland. De ondertekening vond plaats tijdens de High Level Meeting Cyber Security in Amsterdam, georganiseerd door het Ministerie van Veiligheid en Justitie in het kader van het Nederlands voorzitterschap van de EU.
In de afgelopen jaren is het belang van ICT en de rol die het speelt in het dagelijks leven exponentieel gegroeid. Daarmee is de afhankelijkheid van internet en ICT steeds groter geworden. De potentieel negatieve gevolgen van kwetsbaarheden in ICT-systemen nemen daarmee ook toe. Samenwerking tussen organisaties en de cyber security gemeenschap kan behulpzaam zijn bij het vinden en oplossen van kwetsbaarheden. Het manifest beoogt dan ook partijen bewuster te maken van het belang van een goede samenwerking tussen organisaties en de ICT-gemeenschap om zo de beveiliging van informatiesystemen op het juiste niveau te houden. De organisaties die het manifest tekenen bieden derden de mogelijkheid om gesignaleerde kwetsbaarheden te melden via een eenvoudige procedure.
Wim Hafkamp, Chief Information Security Officer bij Rabobank: ‘Klanten willen hun bankzaken veilig, snel en gemakkelijk kunnen regelen. Betrouwbaarheid en veiligheid van onze systemen zijn van fundamenteel belang om het vertrouwen van onze klanten te behouden. Middels dit manifest bieden we security onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels. Organisaties komen zo in permanente dialoog met bekende en onbekende cyber security onderzoekers. We zijn dan ook blij dat we vandaag met circa 30 organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk.’
Vanochtend was Wim Hafkamp te horen op BNR nieuwsradio om daar te vertellen over het manifest. Luister dit korte item hier terug.
Ronald Verbeek, Directeur CIO Platform Nederland: ‘Met dit manifest willen we de inspanningen van onderzoekers en hackergemeenschap erkennen en tevens de noodzaak van een evenwicht tussen transparantie en tijdig reageren benadrukken. Aan de ene kant moet het publiek worden geïnformeerd over nieuw ontdekte beveiligingslekken. Aan de andere kant hebben organisaties enige tijd nodig om de melding te onderzoeken en de kwetsbaarheid weg te nemen. Kwetsbare onderdelen in systemen kunnen veel schade opleveren als ze niet tijdig aangepakt worden; we hebben liever dat ze worden gemeld door goedbedoelende hackers dan misbruikt door kwaadwillende criminelen.’
Onder de ondertekenaars bevinden zich grote spelers op het gebied van zorg, transport, energie, telecom en financieel. Geïnteresseerde organisaties kunnen ook na vandaag het manifest ondertekenen. Dit initiatief wordt ondergebracht bij het Global Forum on Cyber Expertise (GFCE). Best Practice documenten voor de implementatie zijn beschikbaar gesteld vanuit het CIO Platform Nederland, gebaseerd op stukken van Coöperatie SURF U.A. Op de website van het GFCE is informatie te vinden over het initiatief, het manifest zelf en de organisaties die hebben ondertekend: http://www.thegfce.com/initiatives/responsible-disclosure-initiative-ethical-hacking/documents.
Deelnemende organisaties tot nu: ABN AMRO, CIOforum Belgian Business, CIO Platform Nederland, Corbion Group Netherlands, Eneco, European Network for Cyber Security, Honeywell, IHC Merwede, ING, KPN, LUMC, Nederlandse Gasunie, NS, NUON, NXP, Palo Alto Networks, Phillips, PostNL, Rabobank, SAAB, Schuberg Phillis, SNS Bank, Stedin, Surfnet, Tennet, TNO, Vodafone en VOICE.