Wij adviseren een bedrijf om de melding af te handelen als elke andere melding. Besef u goed dat de hacker de moeite neemt om u te waarschuwen en niet weet dat de kwetsbaarheid recent ook al gemeld is. En ga ook met deze melder het gesprek aan en luister goed. U kan verrast worden door diens zienswijze.
MYOBI is een vertrouwde derde partij en fungeert als voorspelbare tussenpersoon in overeenstemming met het TTP-beleid. Een melder is misschien terughoudend om zijn identiteit aan het bedrijf bekend te maken, maar voelt zich veilig bij een TTP. MYOBI verifieert de identiteit van de melder en verzamelt de kwetsbaarheidsdocumentatie van de melder in een beveiligd proces. Als de melder dat wenst, verstrekt MYOBI de melder een pseudoniem voor communicatie met het bedrijf over de details van de melding. Alleen als de melder dit expliciet aangeeft, geeft MYOBI de identiteit van de melder door aan het bedrijf.
Kwetsbaarheden hebben gevolgen voor de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van persoons- en bedrijfsgegevens. Het veilig uitwisselen van de kwetsbaarheidsdocumentatie onder het TTP-beleid en het gebruik van het MYOBI Trust Network zal de bedrijfs- en persoonlijke belangen beschermen. Een ander voordeel van het gebruik van MYOBI is de toegang tot mediation als er een meningsverschil ontstaat.
In april 2022 zijn 2 Europese richtlijnen opgenomen in de Nederlandse wetgeving die bepalen dat verkopers van IT-gedreven producten en diensten wettelijk verplicht zijn om apparaten en diensten werkend en veilig te houden. Deze nieuwe wetgeving heeft grote impact op onder meer IoT-producten.
De consument kan de verkoper aansprakelijk stellen en in het eerste jaar na de aankoop van deze producten en diensten geldt zelfs een omgekeerde bewijslast. Als een kwetsbaarheid wordt gemeld, moet de producent deze repareren en zijn verkopers informeren. Zie de blog van Duthler Associates over digitale diensten en producten.
Op software gebaseerde producten en diensten hebben kwetsbaarheden. Criminele hackers maken misbruik van kwetsbaarheden. Het maatschappelijk verkeer op de hoogte stellen van het bestaan van een probleem zonder een remedie aan te bieden om het op te lossen, kan ertoe leiden dat een criminele hacker een kans krijgt om binnen te dringen terwijl de kwetsbaarheid bestaat.
Onthullingen van kwetsbaarheden vallen dus in twee uitersten uiteen:
Het hangt van de situatie af welke mix van uitersten een bevredigend resultaat zal hebben.
MYOBI ondersteunt haar gebruikers met de volgende instrumenten:
De CVD van het bedrijf helpt om effectief op kwetsbaarheden te reageren. Het verlaagt aansprakelijkheids- en kostenrisico’s en verbetert de reputatie van de onderneming. Toch zullen criminele hackers misbruik maken van kwetsbaarheden en zullen er ook kwetsbaarheden onopgemerkt blijven.
Het antwoord op de vraag is te vinden in het contract dat u met de leverancier hebt afgesloten. Wij adviseren om in het leveringscontract van de software afspraken te maken over kwetsbaarheden in de software die na de levering worden gesignaleerd. Deze afspraken moeten duidelijkheid geven over aansprakelijkheid, de snelheid van de afhandeling van de kwetsbaarheid en het dragen van de kosten hiervan.
Jazeker, een overzicht van de algemeen geaccepteerde principes van een CVD:
Ja (!), een bedrijf is op haar hoede als een onbekende onderzoeker of hacker zich buiten de CVD-principes begeeft.
Er zijn verschillende definities. Wij noemen de meest relevante:
Ja, wij kennen Vulnerability Analysis & Resolutions (VAR) in CERT RMM en dat overlapt met het concept van Vulnerability Management (VM). Binnen het VAR-procesgebied van de RMM worden verschillende doelen en praktijken geïdentificeerd:
Zorg voor een duidelijk onderscheid tussen kwetsbaarheden in een product of dienst (CVD-niveau) en kwetsbaarheden die het gevolg zijn van het toepassen van een product of dienst (VM-niveau).
Er zijn verschillende definities. Wij noemen de meest relevante uit het ENISA rapport Good Practice Guide on Vulnerability Disclosure, 2015:
Carnegie Mellon University, Een kwetsbaarheid is een reeks voorwaarden of gedragingen die opzettelijke en onopzettelijke schending van van het veiligheidsbeleid mogelijk maken. Kwetsbaarheden kunnen worden veroorzaakt door softwarefouten, configuratie- of implementatie beslissingen, onverwachte interacties tussen systemen, en of veranderingen in de omgeving. Succesvolle benutten van een kwetsbaarheden hebben gevolgen voor de techniek en risico’s de vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens. In gegevensverwerkende systemen kunnen kwetsbaarheden ontstaan in de gehele DevSecOps cyclus; van ontwerp tot operationele fase.
Een melder verwacht dat een bedrijf de melding serieus neemt. Bij een ernstige kwetsbaarheid verwacht het immers snel contact en acties van het bedrijf. Het risico van een trage reactie is het bekendmaken van de kwetsbaarheid (zonder een goede remedie) op een openbaar platform. Wij raden u aan zo spoedig mogelijk na ontvangst van de documentatie van de kwetsbaarheid een ontvangstbevestiging te sturen, waarin wordt aangegeven wanneer de melder een reactie kan verwachten.
Als uw organisatie niet 24/7 meldingen en ontvangstbevestiging niet kan ontvangen, kunt u deze taak uitbesteden aan MYOBI.
Er zijn veel mensen die het een uitdaging vinden om een kwetsbaarheid te vinden bij een bedrijf. Dat gebeurt ongeacht of een bedrijf een CVD-beleid heeft. CVD biedt echter de mogelijkheid om een kwetsbaarheid onder de regie van het bedrijf af te handelen.
CVD is bedoeld om goedwillende melders en kwetsbare organisaties elkaar te laten vinden. Als een bedrijf een CVD-beleid heeft zal de hacker zich veilig voelen om de kwetsbaarheid te melden.
Als een hacker niet weet waar en hoe hij/zij de kwetsbaarheid kan melden, dan kan de hacker mogelijk de kwetsbaarheid melden op een algemeen forum waardoor de kwetsbaarheid bij een grotere groep mensen bekend wordt zonder dat er passende maatregelen zijn getroffen.
Juristen zijn vaak onbekend met CVD en vinden het ‘een uitnodiging om te hacken’. Ze schrikken er ook van terug dat in de Verklaring wordt opgenomen dat in principe geen aangifte wordt gedaan en/of juridische stappen worden genomen. In de praktijk blijft deze vrees ongegrond en blijken juist zowel het bedrijf als de melder baat te hebben bij duidelijke afspraken. Overigens wordt in de Verklaring opgenomen dat – als afspraken niet worden nagekomen – er alsnog aangifte gedaan kan worden of juridische stappen kunnen worden ondernomen.
Ja, de melder neemt de moeite om een kwetsbaarheid aan u te melden met de intentie dat dit uw bedrijf zal helpen. Het ligt wel voor de hand om een verschil te maken in de omvang van de beloning naar rato van de ‘ernst’ van de kwetsbaarheid. Een beloning kan ook uit een waardering bestaan, bijvoorbeeld een bedankbrief. Uiteraard worden alleen melders die zich aan de Verklaring CVD hebben gehouden beloond.
De ervaring leert dat bijna alle softwareproducten kwetsbaarheden bevatten, en dit zal waarschijnlijk zo blijven, vooral omdat de complexiteit van de code van de software blijft toenemen. In feite zal het potentieel voor kwetsbaarheden nooit verdwijnen, aangezien een voorheen veilig systeem kwetsbaar kan worden wanneer het in een nieuwe context wordt ingezet, of gewoon door veranderingen in de omgeving of de ontwikkeling van nieuwe aanvalstechnieken. (bron: Carnegie Mellon University; Guide to CVD 2017)
In het algemeen zijn de volgende rollen betrokken:
Er is niet één “juiste” manier om het CVD-proces uit te voeren. Soms is het effectief om de (verholpen) kwetsbaarheid in een blog bekend te maken aan een breed publiek, en soms maakt de leverancier een kwetsbaarheid met een passende remedie aan haar klanten bekend.
