Beveiligingsonderzoekers en hackers proberen niet alleen maar dingen stuk te maken en te misbruiken. Sommigen jagen vooral op kwetsbaarheden in de hoop systemen beter te maken of om een leuke beloning te krijgen. Dergelijke meldingen van gevonden kwetsbaarheden verdienen een goed CVD-proces.
CVD staat voor coordinated vulnerability disclosure: het gecoördineerd omgaan met gemelde kwetsbaarheden. Uit gegevens van Z-CERT, het expertisecentrum voor cybersecurity in de zorg, blijkt dat veel Nederlandse zorginstellingen nog niet over een CVD-proces beschikken.
Als iemand een kwetsbaarheid in je website of IT-systeem heeft gevonden, wil je voorkomen dat die informatie wordt gedeeld of openbaar wordt gemaakt. Of dat die informatie ongecoördineerd in de buitenwereld komt en leidt tot een datalek. Een goed ingericht CVD-proces stelt je in staat om de kwetsbaarheid op te lossen voordat deze openbaar wordt gemaakt. Ook krijgen onderzoekers erkenning voor hun werk en de zekerheid dat ze juridisch niet vervolgd zullen worden.
Goede melding belonen
Verder is het vrij gebruikelijk om een goede melding te belonen. Een beloning, soms ‘bug bounty’ genoemd, stimuleert hackers om gevonden kwetsbaarheden te melden. Sommige organisaties kiezen ervoor om melders van kwetsbaarheden op een soort erelijst, een Hall of fame, te plaatsen als erkenning voor hun diensten.
Bij Z-CERT merken we dat veel meldingen uit India en omliggende landen komen. Daar is opname in een Hall of fame onderdeel van een goed CV, waardoor je kansen op een baan bij een securitybedrijf toenemen. Tegelijkertijd is het doen van een kleine, eenmalige buitenlandse betaling aan iemand in India (vaak zonder adres zoals wij dat kennen) in veel organisaties best lastig.
Aspecten inrichten CVD-proces
Het inrichten van een CVD-proces omvat een aantal aspecten, zoals beleid, scope (voorwaarden waaraan een melding moet voldoen om kans te maken op een beloning) en het verzorgen van het proces om een beloning te regelen voor goede CVD-meldingen.
Zo is het goed om vast te leggen wie er in de organisatie toezicht houdt op meldingen, wie ze beoordeelt en wie actie onderneemt. Verder kan je vastleggen wat proportioneel is voor een ethisch hacker of onderzoeker. Als iemand bijvoorbeeld een kwetsbaarheid in een systeem vindt, mag hij/zij het niet onnodig kapotmaken of meer gegevens inzien of downloaden dan nodig is voor het onderzoek.
Als iemand merkt dat hij toegang heeft tot een medisch dossier, zijn waarschijnlijk meer dossiers toegankelijk. Dat hoeft de onderzoeker niet per se zelf uit te proberen. Dit geldt ook als er een kwetsbaarheid voor DDoS-aanvallen gevonden wordt. Er mag dus wat ethisch gevoel van de beveiligingsonderzoeker worden verwacht.
Om jezelf werk te besparen, moet je voorwaarden stellen en bepaalde gevonden kwetsbaarheden uitsluiten van een beloning. Welke kwetsbaarheden wil je gemeld hebben, welke niet? Uiteraard mag de ethisch hacker of onderzoeker de gevonden kwetsbaarheid niet misbruiken. Anders riskeert hij/zij een aanklacht wegens computervredebreuk.
Het CVD-proces is dus een wederzijdse afspraak tussen beveiligingsonderzoeker of ethisch hacker en organisatie over het netjes melden van een kwetsbaarheid zonder het te misbruiken. De betreffende organisatie belooft in ruil daarvoor geen aangifte te doen.
Security.txt
Een middel om het CVD-proces goed te begeleiden, is toepassen van security.txt. Deze standaard wordt per 25 mei 2023 verplicht voor Nederlandse gemeenten, provincies, rijk, waterschappen en uitvoeringsorganisaties. Het tekstbestand security.txt plaats je op je webserver en beschrijft bijvoorbeeld bij wie in de organisatie een kwetsbaarheid kan worden gemeld.
Beveiligingsonderzoekers en ethisch hackers kunnen dankzij deze informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden. Dit kan gevonden kwetsbaarheden sneller verhelpen en verkleint de kans op misbruik door cybercriminelen.
In het security.txt-bestand vermeld je onder meer in welke taal je de melding verwacht, waar je beleidsregels voor het melden te vinden zijn en wat je encryptiesleutel is als je deze berichten versleuteld wilt ontvangen.
Gestage groei
Het implementeren van security.txt vergt weinig technische kennis. Er zijn online tools en plugins die het bestand automatisch genereren en plaatsen op je webserver. Eind juni waren er volgens .nl-domeinnaambeheerder SIDN ruim 90.000 domeinnamen voorzien van security.txt. Op 6,2 miljoen .nl-domeinnamen is dat nog niet veel, maar het aantal groeit gestaag.
Van de bij Z-CERT aangesloten zorgorganisaties heeft naar schatting een kwart een CVD-proces opgetuigd. Gelukkig hoeft niet iedereen zelf het wiel uit te vinden: zorgorganisaties die zijn aangesloten bij Z-CERT kunnen hun CVD-proces aan ons uitbesteden.
