Is responsible disclosure te lang onderbelicht gebleven in de strijd tegen beveiligingsincidenten en datalekken?

Beveiligingsincidenten en datalekken, ze lijken bijna net zo normaal te zijn geworden als de wekelijkse boodschappen. Recentelijk nog is de Gemeente Buren slachtoffer geworden van een hack met als resultaat dat 130 gigabyte aan (o.a. privacygevoelige) gegevens is gepubliceerd op het Dark Web. Wat kunt u als organisatie nu tegen beveiligingsincidenten en datalekken doen? En, biedt responsible disclosure wellicht een maatregel die vaak nog te onderbelicht is gebleven?

Over wat organisaties tegen beveiligingsincidenten en datalekken kunnen doen, is reeds ontzettend veel geschreven. Denk hierbij aan tips als:

• Beperk, zoveel als werkbaar, de toegang tot gevoelige gegevens;
• Verhoog het medewerkersbewustzijn (o.a. van groot belang met het oog op phishing);
• Houd (beveiligings)software, systemen en applicaties up-to-date;
• Gebruik sterke wachtwoorden en wachtwoordmethoden;
• Verwijder en vernietig bestanden en gegevens die niet langer nodig zijn op de juiste manier, etc.

Een thema dat over het algemeen nog wat minder belicht is, maar dat volgens o.a. NCSC UK van groot belang is ter voorkoming van beveiligingsincidenten en datalekken, is het hanteren van responsible disclosure-beleid. Met responsible disclosure-beleid nodigt een organisatie de vinder van een kwetsbaarheid (zoals een toevalliger bezoeker, ethische hacker of beveiligingsonderzoeker) in bijvoorbeeld netwerk- en informatiesystemen uit om hiervan een melding te maken bij de organisatie (al dan niet tegen vergoeding). Door deze melding kan de organisatie de ontdekte kwetsbaarheid verhelpen voordat er misbruik van wordt gemaakt.

Recentelijk is (na vijf jaar overleg!) een nieuw protocol gepubliceerd als potentiële standaard voor het melden van kwetsbaarheden, namelijk: “Security.txt”. Dit protocol is ontwikkeld door de Internet Engineering Task Force (IETF).[1] Het idee achter Security.txt is eenvoudig: de organisatie plaatst een bestand met de naam security.txt op een voorspelbare plaats met hierin een link naar informatie over het beveiligingsbeleid van de organisatie en een e-mailadres voor contact.

Het doel van Security.txt is om het proces rondom het melden van kwetsbaarheden zo duidelijk, discreet en efficiënt mogelijk te maken. Het voordeel van het protocol is volgens het Digital Trust Center (DTC) dat het 1) relatief simpel te implementeren is, 2) eraan kan bijdragen dat kwetsbaarheden gemakkelijker en vaker worden gemeld, 3) het melden minder tijd kost en 4) organisaties sneller en efficiënter schadebeperkende maatregelen kunnen nemen. Een nadeel is volgens het DTC een mogelijke toename aan spam- en nepmeldingen op het voor de meldingen beschikbaar gestelde contactadres.

Kortom, gezien de voordelen van responsible disclosure – al dan niet in combinatie met Security.txt – is het overwegen hiervan in de strijd tegen beveiligingsincidenten en datalekken een absolute aanbeveling.

Overweegt u om gebruik te maken van responsible disclosure en/of heeft u ondersteuning nodig bij het voorkomen van beveiligingsincidenten en datalekken? Neem dan gerust contact op.

Michelle Wijnant, Advocaat IT, IE & Privacy

Deze blog is geschreven in samenwerking met Sander van Oostrom (student-stagiaire).

[1] IETF is een standaardenorganisatie die zich via discussies binnen de internetcommunity bezighoudt met het ontwikkelen van vrijwillige internetstandaarden.