28 bedrijven en organisaties hebben een manifest ondertekend waarin ze een meldpunt voor ict-kwetsbaarheden ondersteunen. Ze stellen zich open voor meldingen van kwetsbaarheden in hun ict-systemen door ethical hackers. Het manifest is een initiatief van de Rabobank en CIO Platform Nederland.
Bedrijven en instellingen uit onder meer de zorg, energie- en telecom-branche en financiële dienstverleners tekenden 12 mei 2016 het manifest tijdens de High Level Meeting Cyber Security in Amsterdam. Die bijeenkomst werd in het kader van het Nederlands voorzitterschap van de EU door het Ministerie van Veiligheid en Justitie georganiseerd.
De Rabobank licht toe: ‘Het Coordinated Vulnerability Disclosure Manifesto is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ict-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten of al hebben ingericht. Met de ondertekening onderschrijven de deelnemende organisaties het belang van de inspanningen van onderzoekers en de hackergemeenschap om het internet en onze samenleving veiliger te maken.’
De bank benadrukt dat de afgelopen jaren het belang van ict en de rol die het speelt in het dagelijks leven exponentieel gegroeid is. ‘Daarmee is de afhankelijkheid van internet en ict steeds groter geworden. De potentieel negatieve gevolgen van kwetsbaarheden in ict-systemen nemen daarmee ook toe. Samenwerking tussen organisaties en de cyber security gemeenschap kan behulpzaam zijn bij het vinden en oplossen van kwetsbaarheden.’ Volgens de initiatiefnemers beoogt het manifest om partijen bewuster te maken van het belang van een goede samenwerking tussen organisaties en de ict-gemeenschap om zo de beveiliging van informatiesystemen op het juiste niveau te houden. De organisaties die het manifest tekenen bieden derden de mogelijkheid om gesignaleerde kwetsbaarheden te melden via een eenvoudige procedure.
Wim Hafkamp, Chief Information Security Officer bij Rabobank: ‘Middels dit manifest bieden we security-onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels. Organisaties komen zo in permanente dialoog met bekende en onbekende cyber security onderzoekers. We zijn dan ook blij dat we vandaag met bijna dertig organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk.’
Ronald Verbeek, directeur CIO Platform Nederland: ‘Met dit manifest willen we de inspanningen van onderzoekers en hackergemeenschap erkennen en tevens de noodzaak van een evenwicht tussen transparantie en tijdig reageren benadrukken. Aan de ene kant moet het publiek worden geïnformeerd over nieuw ontdekte beveiligingslekken. Aan de andere kant hebben organisaties enige tijd nodig om de melding te onderzoeken en de kwetsbaarheid weg te nemen. Kwetsbare onderdelen in systemen kunnen veel schade opleveren als ze niet tijdig aangepakt worden; we hebben liever dat ze worden gemeld door goedbedoelende hackers dan misbruikt door kwaadwillende criminelen.’
Deelnemers
Het initiatief wordt ondergebracht bij het Global Forum on Cyber Expertise (GFCE). Best Practice documenten voor de implementatie zijn beschikbaar gesteld vanuit het CIO Platform Nederland, gebaseerd op stukken van Coöperatie SURF U.A. Op de website van het GFCE is informatie te vinden over het initiatief, het manifest zelf en de organisaties die hebben ondertekend. Deelnemende organisaties tot nu zijn: Rabobank, CIO Platform Nederland, ABN AMRO, CIOforum Belgian Business, Corbion Group Netherlands, Eneco, European Network for Cyber Security, Honeywell, IHC Merwede, ING, KPN, LUMC, NS, NUON, NXP, Palo Alto Networks, Phillips, PostNL, SAAB, Schuberg Phillis, SNS Bank, Stedin, Surfnet, Tennet, TNO, Vodafone en VOICE.