Coordinated Vulnerability Disclosure (CVD)

Managen van kwetsbaarheden

Cyberdreigingen ontstaan door kwetsbaarheden in de ICT-infrastructuur, toepassingen en of in de organisatie van bedrijfsactiviteiten. Zij kunnen het effectief beschermen van bedrijfsactiviteiten en van bedrijfs- en persoonsgegevens ondermijnen. Uiteindelijk kunnen deze kwetsbaarheden de continuïteit van de bedrijfsvoering bedreigen en een bedrijf zelfs stil leggen. De oorzaken van de kwetsbaarheden kunnen liggen in bijvoorbeeld de complexiteit van de digitale systemen, het ontbreken van “security by design”, het onjuist implementeren en of het onvoldoende testen. De oorzaken kunnen ook liggen bij ketenpartners die producten, toepassingen en diensten aan het bedrijf leveren.

Delen van onderzoeksresultaten

Een kwetsbaarheid kan door een onbekende onderzoeker worden opgemerkt. Als deze onderzoeker te goeder trouw is, wil hij graag de onderzoeksresultaten delen met het bedrijf. Het is belangrijk om op een juiste manier met de onderzoeker/ melder en de melding om te gaan om te voorkomen dat de informatie in ongewenste handen valt alvorens het bedrijf de kwetsbaarheid kan verhelpen.

Met een Coordinated Vulnerability Disclosure (CVD)-beleid kan een bedrijf inregelen dat kwetsbaarheden die buiten het bedrijf zijn gesignaleerd op een gecontroleerde wijze (onder uw regie) worden afgehandeld. In het beleid worden kaders aangegeven voor het documenteren en analyseren van deze kwetsbaarheden en het snel verhelpen ervan door het treffen van passende maatregelen. Hierdoor blijven de gevolgen voor de bedrijfsvoering beperkt. Op de website laat het bedrijf in een CVD-Verklaring weten hoe kwetsbaarheden gemeld kunnen worden en onder welke voorwaarden.

Inbedden in de eigen organisatie

Alvorens een bedrijf met een CVD-Verklaring naar buiten kan treden, zal CVD eerst ingeregeld moeten zijn in de eigen organisatie. Immers, een onderzoeker beloven om te werken volgens afspraken en deze vervolgens niet nakomen kan een averechts gevolg hebben waardoor de onderzoeker andere wegen gaat bewandelen om de kwetsbaarheid te exploiteren.

Hoe kunnen wij u helpen?

Neem gerust contact met ons op om uw vraag of behoefte te bespreken.

Een bedrijf moet keuzes maken hoe zij CVD wil organiseren. Als er weinig kennis en/of capaciteit beschikbaar is, dan kan besloten worden om het proces uit te besteden. Er kan ook gekozen worden voor een gedeelte uitbesteding en de eigen kennis aan te vullen door trainingen.

Wij kunnen u ondersteunen bij:

  • Het ondersteunen bij het opstellen van een businesscase om mogelijkheden te verkennen en onderbouwde besluiten te nemen;
  • Het opstellen van een intern CVD-beleid en een externe CVD-verklaring;
  • Het uitwerken van rollen, taken en bevoegdheden;
  • Het opstellen van een procedure om een melding goed en tijdig af te handelen inclusief documenteren en rapporteren;
  • Het maken van afspraken met experts om op afroep beschikbaar te zijn bij het afhandelen van een kwetsbaarheid zoals technische IT-kennis en juridische kennis;
  • Het opleiden van medewerkers om rollen uit te voeren; en
  • Het onderhouden van het contact met de melder.

Elk IT-gedreven product of dienst kent kwetsbaarheden. Soms constateren onderzoekers kwetsbaarheden en doen zij melding bij het bedrijf; soms maken cybercriminelen gebruik van de kwetsbaarheid het bedrijf af te persen.

De weerbaarheid voor kwetsbaarheden in IT-producten en -diensten neemt toe als een bedrijf de IT-gedreven producten en diensten kent en de organisatie openstaat kwetsbaarheden in ontvangst te nemen en doortastend maatregelen te nemen.

Door de maatregelen aan te vullen met grondig testen van geïmplementeerde systemen en voorbereiden op incidenten kunnen nare situaties beperkt worden.

De meeste bedrijven maken gebruik van cloud-dienstverleners voor het ondersteunen van de bedrijfsprocessen met IT-producten en -diensten waarmee de bedrijfsactiviteiten effectief zijn georganiseerd. De meeste clouddienstverlening biedt het bedrijf een scala aan professionele beheersmaatregelen gericht op bijvoorbeeld het NIST CyberSecurity Framework Core, April, 2018.

MYOBI Vertrouwensnetwerk voegt aan dit NIST framework het managen van kwetsbaarheden in IT-producten en -diensten van het bedrijf die door onderzoekers zijn geconstateerd; een Coordinated Vulnerability Disclosure.

Heeft u vragen of behoefte aan een afspraak?

Heeft u vragen over het organiseren, implementeren of uitbouwen van uw CVD? Neem gerust contact met ons op.