Responsible Disclosure is inmiddels zo’n 5 jaar oud. Als alternatief van non-disclosure (een gevonden kwetsbaarheid wordt niet gemeld maar mogelijk gebruikt door de melder of verkocht) en full disclosure (een gevonden kwetsbaarheid wordt publiek bekend gemaakt) is Responsible Disclosure inmiddels omarmd door zowel door de melders als de organisaties die het hebben geïmplementeerd.

Veel van onze klanten maken dan ook dankbaar gebruik van Responsible Disclosure. We hebben inmiddels duizenden meldingen van kwetsbaarheden beoordeeld en doorgezet naar onze klanten. Deze meldingen hebben de afgelopen jaren geholpen om de veiligheid en continuïteit van systemen te verbeteren. Aan de ene kant om kwetsbaarheden te verhelpen en aan de andere doordat het heeft bijgedragen aan het bewustzijn van het belang van IT security bij bedrijven. Het is gebleken dat goedwillende melders bereid zijn om te werken binnen het door organisaties opgestelde beleid en zo samen met de organisaties de beveiliging van systemen te verbeteren. Toch is het tijd voor verandering.

De belangrijkste reden om van RD naar CVD te gaan, is dat Responsible Disclosure teveel de nadruk legt op de verantwoordelijkheid (‘responsible’) van de melder in een situatie waarbij gelijkwaardigheid tussen de melder en de betreffende organisatie juist van groot belang is. Met de introductie van CVD (overigens wordt deze term al langer gebruikt in ISO-standaarden) wordt bewust de nadruk gelegd op ‘coordinated’.

Om iets gecoördineerd op te pakken, is organisatie en communicatie van groot belang. Wij herkennen dit maar al te goed vanuit ons platform. Het is eenvoudig om een Responsible Disclosure beleid op je website te zetten en de rapporten op een centrale plek te verzamelen. Het vergt echter enige voorbereiding om enerzijds de kwetsbaarheden daadwerkelijk op te laten lossen en anderzijds de melder te bedanken, regelmatig op de hoogte te stellen van de voortgang en eventueel bij de oplossing te betrekken. Het is dus van groot belang om, voordat je CVD implementeert, een plan te maken waarin je processen definieert hoe je (intern) omgaat met de gerapporteerde kwetsbaarheden en hoe je (extern) de melder op de hoogte houdt, betrekt en bedankt.

In de praktijk is de switch van RD naar CVD niet alleen het aanpassen van de titel. Sta ook even weer stil bij jullie eigen processen met als doel de coördinatie van de rapporten en de communicatie met de melder en de overige betrokkenen te optimaliseren.


Deze bijdrage is geschreven door mede Cyberveilig Nederland founding Partner Zerocopter en verscheen eerder op: https://www.zerocopter.com/blog-nl/van-responsible-disclosure-rd-naar-coordinated-vulnerability-disclosure-cvd.