Er zijn verschillende definities. Wij noemen de meest relevante uit het ENISA rapport Good Practice Guide on Vulnerability Disclosure, 2015:
- ENISA, Het bestaan van een kwetsbaarheid in het ontwerp of implementatie, ongewenste gebeurtenis, die de beveiliging van het betrokken computersysteem, netwerk, applicatie of protocol in gevaar brengt.
- NIST, Een kwetsbaarheid is elke zwakte in een informatiesysteem, systeembeveiligingsprocedures, interne controles of implementatie die kan worden uitgebuit of geactiveerd door een bedreigingsbron.
- NCSC, Een kwetsbaarheid biedt een vijandige actor de mogelijkheid om schade toe te brengen op een punt waar de bescherming tegen dergelijke schade zwak is.
Carnegie Mellon University, Een kwetsbaarheid is een reeks voorwaarden of gedragingen die opzettelijke en onopzettelijke schending van van het veiligheidsbeleid mogelijk maken. Kwetsbaarheden kunnen worden veroorzaakt door softwarefouten, configuratie- of implementatie beslissingen, onverwachte interacties tussen systemen, en of veranderingen in de omgeving. Succesvolle benutten van een kwetsbaarheden hebben gevolgen voor de techniek en risico’s de vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens. In gegevensverwerkende systemen kunnen kwetsbaarheden ontstaan in de gehele DevSecOps cyclus; van ontwerp tot operationele fase.
Er zijn veel mensen die het een uitdaging vinden om een kwetsbaarheid te vinden bij een bedrijf. Dat gebeurt ongeacht of een bedrijf een CVD-beleid heeft. CVD biedt echter de mogelijkheid om een kwetsbaarheid onder de regie van het bedrijf af te handelen.
CVD is bedoeld om goedwillende melders en kwetsbare organisaties elkaar te laten vinden. Als een bedrijf een CVD-beleid heeft zal de hacker zich veilig voelen om de kwetsbaarheid te melden.
Als een hacker niet weet waar en hoe hij/zij de kwetsbaarheid kan melden, dan kan de hacker mogelijk de kwetsbaarheid melden op een algemeen forum waardoor de kwetsbaarheid bij een grotere groep mensen bekend wordt zonder dat er passende maatregelen zijn getroffen.
Er zijn verschillende definities. Wij noemen de meest relevante:
- ISO/IEC 29147, Vulnerability Disclosure is een proces waarbij leveranciers en onderzoekers samenwerken bij het vinden van oplossingen die het risico van een kwetsbaarheid verminderen.
- Carnegie Mellon University, Guide to CVD 2017, CVD is een proces, geen gebeurtenis. Een proces om het voordeel van de tegenstander te verminderen door een kwetsbaarheid in de informatiebeveiliging weg te nemen.
- Openbaar Ministerie brief parketten 2018, CVD is het op een verantwoorde wijze en in gezamenlijkheid tussen melder (de ethische hacker) en organisatie openbaar maken van IT-kwetsbaarheden in de systemen van die organisatie.
Ja, wij kennen Vulnerability Analysis & Resolutions (VAR) in CERT RMM en dat overlapt met het concept van Vulnerability Management (VM). Binnen het VAR-procesgebied van de RMM worden verschillende doelen en praktijken geïdentificeerd:
- De VAR voorbereiden: bepaal de scope en de strategie;
- Implementeer en onderhoud een proces van identificeren en analyseren van kwetsbaarheden: identify, discover and analyze;
- Organiseer het bekendmaken van kwetsbaarheden; en
- Achterhaal de aanleiding van de kwetsbaarheid.
Zorg voor een duidelijk onderscheid tussen kwetsbaarheden in een product of dienst (CVD-niveau) en kwetsbaarheden die het gevolg zijn van het toepassen van een product of dienst (VM-niveau).
Jazeker, een overzicht van de algemeen geaccepteerde principes van een CVD:
- Schade verminderen.
- Ga uit van welwillendheid – ga ervan uit dat een persoon die tijd en moeite heeft genomen om contact op te nemen met een leverancier om een probleem te melden, waarschijnlijk welwillend is om de schade van de kwetsbaarheid te verminderen.
- Voorkom verrassingen.
- Stimuleer gewenst gedrag – het is meestal beter om goed gedrag te belonen dan om slecht gedrag te straffen.
- Ethische overwegingen.
- Medewerkers betrekken bij het proces – deelnemers aan het CVD-proces moeten leren van hun ervaring en hun proces dienovereenkomstig verbeteren.
- CVD is “a wicked problem” – openbaar maken van kwetsbaarheden is een veelzijdig probleem.
Ja (!), een bedrijf is op haar hoede als een onbekende onderzoeker of hacker zich buiten de CVD-principes begeeft.
Ja, de melder neemt de moeite om een kwetsbaarheid aan u te melden met de intentie dat dit uw bedrijf zal helpen. Het ligt wel voor de hand om een verschil te maken in de omvang van de beloning naar rato van de ‘ernst’ van de kwetsbaarheid. Een beloning kan ook uit een waardering bestaan, bijvoorbeeld een bedankbrief. Uiteraard worden alleen melders die zich aan de Verklaring CVD hebben gehouden beloond.
In het algemeen zijn de volgende rollen betrokken:
- De melder of onderzoeker van de kwetsbaarheid (dit is vaak een onafhankelijke beveiligingsonderzoeker);
- De leverancier (ontwikkelaar) van componenten die de kwetsbaarheid bevatten (uiteindelijke leverancier);
- De leveranciers die het kwetsbare component gebruiken in hun eigen producten (downstream leveranciers);
- De coördinatoren of andere organisatie die gespecialiseerd zijn in incident response en vulnerability handling; en
- Het maatschappelijk verkeer/ consumenten die de producten met een kwetsbaar component kopen en gebruiken.
Er is niet één “juiste” manier om het CVD-proces uit te voeren. Soms is het effectief om de (verholpen) kwetsbaarheid in een blog bekend te maken aan een breed publiek, en soms maakt de leverancier een kwetsbaarheid met een passende remedie aan haar klanten bekend.
In april 2022 zijn 2 Europese richtlijnen opgenomen in de Nederlandse wetgeving die bepalen dat verkopers van IT-gedreven producten en diensten wettelijk verplicht zijn om apparaten en diensten werkend en veilig te houden. Deze nieuwe wetgeving heeft grote impact op onder meer IoT-producten.
De consument kan de verkoper aansprakelijk stellen en in het eerste jaar na de aankoop van deze producten en diensten geldt zelfs een omgekeerde bewijslast. Als een kwetsbaarheid wordt gemeld, moet de producent deze repareren en zijn verkopers informeren. Zie de blog van Duthler Associates over digitale diensten en producten.
Een melder verwacht dat een bedrijf de melding serieus neemt. Bij een ernstige kwetsbaarheid verwacht het immers snel contact en acties van het bedrijf. Het risico van een trage reactie is het bekendmaken van de kwetsbaarheid (zonder een goede remedie) op een openbaar platform. Wij raden u aan zo spoedig mogelijk na ontvangst van de documentatie van de kwetsbaarheid een ontvangstbevestiging te sturen, waarin wordt aangegeven wanneer de melder een reactie kan verwachten.
Als uw organisatie niet 24/7 meldingen en ontvangstbevestiging niet kan ontvangen, kunt u deze taak uitbesteden aan MYOBI.
MYOBI is een vertrouwde derde partij en fungeert als voorspelbare tussenpersoon in overeenstemming met het TTP-beleid. Een melder is misschien terughoudend om zijn identiteit aan het bedrijf bekend te maken, maar voelt zich veilig bij een TTP. MYOBI verifieert de identiteit van de melder en verzamelt de kwetsbaarheidsdocumentatie van de melder in een beveiligd proces. Als de melder dat wenst, verstrekt MYOBI de melder een pseudoniem voor communicatie met het bedrijf over de details van de melding. Alleen als de melder dit expliciet aangeeft, geeft MYOBI de identiteit van de melder door aan het bedrijf.
Kwetsbaarheden hebben gevolgen voor de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van persoons- en bedrijfsgegevens. Het veilig uitwisselen van de kwetsbaarheidsdocumentatie onder het TTP-beleid en het gebruik van het MYOBI Trust Network zal de bedrijfs- en persoonlijke belangen beschermen. Een ander voordeel van het gebruik van MYOBI is de toegang tot mediation als er een meningsverschil ontstaat.
Wij adviseren een bedrijf om de melding af te handelen als elke andere melding. Besef u goed dat de hacker de moeite neemt om u te waarschuwen en niet weet dat de kwetsbaarheid recent ook al gemeld is. En ga ook met deze melder het gesprek aan en luister goed. U kan verrast worden door diens zienswijze.
Juristen zijn vaak onbekend met CVD en vinden het ‘een uitnodiging om te hacken’. Ze schrikken er ook van terug dat in de Verklaring wordt opgenomen dat in principe geen aangifte wordt gedaan en/of juridische stappen worden genomen. In de praktijk blijft deze vrees ongegrond en blijken juist zowel het bedrijf als de melder baat te hebben bij duidelijke afspraken. Overigens wordt in de Verklaring opgenomen dat – als afspraken niet worden nagekomen – er alsnog aangifte gedaan kan worden of juridische stappen kunnen worden ondernomen.
Het antwoord op de vraag is te vinden in het contract dat u met de leverancier hebt afgesloten. Wij adviseren om in het leveringscontract van de software afspraken te maken over kwetsbaarheden in de software die na de levering worden gesignaleerd. Deze afspraken moeten duidelijkheid geven over aansprakelijkheid, de snelheid van de afhandeling van de kwetsbaarheid en het dragen van de kosten hiervan.
De ervaring leert dat bijna alle softwareproducten kwetsbaarheden bevatten, en dit zal waarschijnlijk zo blijven, vooral omdat de complexiteit van de code van de software blijft toenemen. In feite zal het potentieel voor kwetsbaarheden nooit verdwijnen, aangezien een voorheen veilig systeem kwetsbaar kan worden wanneer het in een nieuwe context wordt ingezet, of gewoon door veranderingen in de omgeving of de ontwikkeling van nieuwe aanvalstechnieken. (bron: Carnegie Mellon University; Guide to CVD 2017)
Op software gebaseerde producten en diensten hebben kwetsbaarheden. Criminele hackers maken misbruik van kwetsbaarheden. Het maatschappelijk verkeer op de hoogte stellen van het bestaan van een probleem zonder een remedie aan te bieden om het op te lossen, kan ertoe leiden dat een criminele hacker een kans krijgt om binnen te dringen terwijl de kwetsbaarheid bestaat.
Onthullingen van kwetsbaarheden vallen dus in twee uitersten uiteen:
- Maak alles wat je weet over de kwetsbaarheid aan iedereen bekend zodra je het weet; en
- Maak nooit iets bekends over een kwetsbaarheid aan iemand.
Het hangt van de situatie af welke mix van uitersten een bevredigend resultaat zal hebben.
MYOBI ondersteunt haar gebruikers met de volgende instrumenten:
- Een CVD-beleid en verklaring CVD;
- Een Informatie ecosysteem op het vertrouwensnetwerk;
- Een bewustwordings- en trainingsprogramma CVD;
- Een contract en draaiboek CVD bibliotheek; en
- Professionele ondersteuning op afroep.
De CVD van het bedrijf helpt om effectief op kwetsbaarheden te reageren. Het verlaagt aansprakelijkheids- en kostenrisico’s en verbetert de reputatie van de onderneming. Toch zullen criminele hackers misbruik maken van kwetsbaarheden en zullen er ook kwetsbaarheden onopgemerkt blijven.