Cyber Security samenwerking toegelicht bij onze Belgische buren

Op verzoek van de Belgische collega’s om ons Coordinated Vulnerability Disclosure manifest toe te lichten, heeft Ronald de gelegenheid gebruikt om ook andere initiatieven onder de aandacht te brengen. Hij visualiseerde dit in een cirkel met drie ringen. 

Voor veiligheid in de binnenste ring, de eigen organisatie, wordt binnen het CIO Platform Nederland veel informatie gedeeld. Dit gebeurt vooral in besloten werkgroepen. Heel zichtbaar, en ook beschikbaar voor niet-leden, is de gezamenlijk ontwikkelde Elevator Game. Deze beoogt alertheid van de medewerkers te vergroten en het bespreken van security issues in de organisatie laagdrempeliger te maken.

Voor het vergroten van de veiligheid in de tweede ring, die van partners, leveranciers en klanten van de organisatie, zijn enkele publicaties opgeleverd. Deze hebben betrekking op bijvoorbeeld het zicht krijgen op de veiligheidssituatie bij leveranciers, of specifieke aandachtspunten bij het kiezen voor Cloud-oplossingen. Daarnaast, en heel belangrijk, is de eerder dit jaar gepubliceerde Code of Conduct. Die gaat over een evenwichtiger relatie tussen leverancier en klant, waarbij ook de veiligheid en aansprakelijkheid voor goed functioneren van bijvoorbeeld software een onderdeel is. Deze publicaties zijn hier te downloaden.

Tenslotte het Coordinated Vulnerability Disclosure manifest. Dit is een maatregel in de buitenste ring. De partijen in deze ring zijn onbekend. Het kunnen bedrijven of andere organisaties zijn, of individuen. Ze kunnen kwaad in de zin hebben, of willen helpen. Geïnspireerd door het Responsible Disclosure beleid dat in 2012 door de minister van Veiligheid en Justitie is gelanceerd, heeft het CIO Platform Nederland begin 2016 een beleid- en procesdocument en een implementatiehandleiding gepubliceerd. Hiervoor is gebruik gemaakt van documenten die SURFnet had opgeleverd voor haar leden.

Idee van dit beleid is dat er spelregels worden bekendgemaakt door organisaties over de wijze waarop het in contact wil treden met melders van kwetsbaarheden. Daarbij wordt bijvoorbeeld gewezen op het niet publiceren van de kwetsbaarheid en het niet manipuleren van data. De organisatie geeft aan de meldingen serieus te onderzoeken en contact te houden met de melder over oplossingen. Belangrijk is ook dat geen aangifte wordt gedaan van inbraak op computersystemen als de melder zich aan de spelregels houdt.

Samen met Rabobank en de Nederlandse overheid is dit beleid, onder de noemer Coordinated Vulnerability Disclosure Manifesto, een breder podium gegeven tijdens de Europese High Level bijeenkomst in het kader van het Europese voorzitterschap. Zo’n 30 organisaties ondertekenden het manifest en onderschreven zo de ambitie om dergelijk beleid te implementeren en anderen daartoe aan te sporen. Vandaar ook dit bezoek aan de Belgische collega’s.

Hoe Responsible Disclosure in de praktijk uitpakt heeft Jethro Cornelissen van de Rabobank toegelicht in zijn deel van de presentatie. Daarbij was de rode draad dat Responsible Disclosure/Coordinated Vulnerability Disclosure soms tot bijzondere contacten met melders kan leiden, er soms nogal wat kaf tussen het koren zit, maar zeker ook zinvolle tips oplevert die schadelijke incidenten en slechte pers voorkomen.

Mocht je interesse hebben en nog geen Responsible Disclosure beleid toepassen, kijk dan bij onze publicaties en zoek op 'Coordinated Vulnerability Disclosure' voor meer informatie (o.a. het manifest zelf, maar ook een implementatiehandleiding en modelbeleid).