Effectief organiseren van een Coordinated Vulnerability Disclosure

Door: Caroline Willemse en André Biesheuvel

Effectief en kosten efficiënt organiseren

In de vorige blog, “Wat is de noodzaak van het toepassen van een Coordinated Vulnerability Disclosure (CVD)?”, hebben wij de noodzaak voor een bedrijf voor het organiseren van een CVD besproken. Wij richten ons in deze blog op het effectief en kostenefficiënt organiseren van een CVD. Het doel van de organisatie is het faciliteren van een effectief en efficiënt proces voor het vrijgeven van kwetsbaarheden dat het risico kan verminderen dat beveiligingsfouten worden misbruikt door cybercriminelen.

ENISA is in Europa de drijvende kracht achter het organiseren van CVDzie: Coordinated Vulnerability Disclosure policies in the EU. In Europees verband verzorgt het NCSC de Nederlandse inspanningen, zie de leidraad Coordinated Vulnerability Disclosure.

MYOBI heeft – zoals ENISA adviseert in haar Good Practice Guide – de leidraad CVD geoperationaliseerd voor bedrijven en gebruikers van het vertrouwensnetwerk.

CVD op hoofdlijnen

De CVD dienstverlening maakt de drempel voor een onbekende onderzoeker zo laag mogelijk om een gedocumenteerde kwetsbaarheid te melden. Wij zouden een gemelde kwetsbaarheid kunnen vergelijken met een gevonden “speld in de hooiberg”.

De essentie van CVD-dienstverlening is dat MYOBI, in de rol van vertrouwde partij (Trusted Third Party), van een onbekende onderzoeker informatie over een kwetsbaarheid in de beveiliging van de infrastructuur en of de applicaties van een bedrijf in ontvangst neemt. 

Bij het in ontvangst nemen van de informatie over de kwetsbaarheid voert MYOBI de volgende stappen uit:

  • Authentiseren van de identiteit van de onbekende onderzoeker; 
  • De onbekende onderzoeker neemt de informatie over de kwetsbaarheid op in een beveiligde omgeving van MYOBI; en
  • De onbekende onderzoeker nodigt – indien gewenst onder een pseudoniem – in een beveiligd bedrijfsproces de bedrijfsprocescoördinator (verantwoordelijke gebruiker) van het betreffende bedrijf uit.

De bedrijfsprocescoördinator (verantwoordelijke gebruiker) kan ons (Duthler Associates) bij het proces betrekken en vragen om een analyse van de gedocumenteerde kwetsbaarheid. Bedreigt de kwetsbaarheid de bedrijfscontinuïteit, dan sluit de bedrijfsprocescoördinator van het bedrijf een CVD overeenkomst met de onbekende onderzoeker. 

De onderwerpen in de overeenkomst hebben betrekking op:

  • Adviseren over het treffen van passende beheers- en beveiligingsmaatregelen en voorkomen van calamiteiten;
  • Communicatie tijdens en na het wegnemen van de kwetsbaarheid; 
  • Afspraken over het beperken van aansprakelijkheid; en
  • Erkenning voor het vinden, het documenteren en het signaleren van de kwetsbaarheid.

Ketenaansprakelijkheid

Bedrijven maken voor hun infrastructuur en toepassingen gebruik van IT-leveranciers. Kwetsbaarheden in de beheers- en beveiligingsmaatregelen kunnen zich ook voordoen in de producten en diensten van de IT-leveranciers. Een leverancier van IT-diensten en -producten maakt op zijn beurt ook weer gebruik van leveranciers. Er is sprake van een keten en dus ook van kwetsbaarheden in de keten.

Het is belangrijk dat het bedrijf bij het aanschaffen van deze producten en diensten met de leveranciers afspraken maakt over de doelen en de processen van CVD. Ook zijn passende afspraken nodig over het doortastend wegnemen van geconstateerde kwetsbaarheden. De Contract Board faciliteert bedrijven met passende draaiboeken en contracttypen CVD de contractportfolio.

MYOBI, de vertrouwde partij

MYOBI, in haar rol van vertrouwde partij, geeft het bedrijf het comfort dat de drempel voor het melden van kwetsbaarheden laag is en de aansprakelijkheids- en kostenrisico’s beheersbaar zijn. De Contract Board is bij het samenstellen van de Verklaring Vulnerability Disclosure (zoals ENISA/ NCSC bedoelen) uitgegaan van de TTP-policy. Wij maken de Verklaring Vulnerability Disclosure bedrijfsspecifiek en voegen deze toe aan de bibliotheek. 

De volgende onderwerpen komen aan de orde:

  • De context waarbinnen de Vulnerability Disclosure plaatsvindt;
  • De rollen van partijen (taken, bevoegdheden en verantwoordelijkheden);
  • Het mechanisme van delen van de informatie over de kwetsbaarheid;
  • Het afwerken van de kwetsbaarheid;
  • Het voorzien in de verwachtingen van de onbekende onderzoeker/ melder;
  • Communiceren over kwetsbaarheden; en 
  • Het oplossen van eventuele geschillen op basis van mediation.

In de bedrijfsspecifieke leeromgeving van het bedrijf verzorgt MYOBI, in samenwerking met ons, een bewustwordings- en trainingsprogramma.

Toegang tot kennis en ervaring beveiligingsincidenten

Het valt niet mee professionals te vinden die de aangebrachte kwetsbaarheden van de beveiliging kunnen beoordelen en passende praktische beheers- en beveiligingsmaatregelen kunnen voorstellen. Als intern de capaciteit aan kennis ontbreekt dan kan het bedrijf met professionals een afspraak over het tijdig leveren van capaciteit maken.

Van dreiging naar kans

Bedrijven waren jarenlang huiverig om vulnerability disclosure in te regelen omdat ze bang waren hackers uit te nodigen om hun systemen aan te vallen. Deze angst is inmiddels redelijk weg. Sterker, vanuit een gedachte “liever gecontroleerd gehackt worden, dan door een criminele hacker” kan een bedrijf hackers actief uitnodigen om kwetsbaarheden in hun systeem op te sporen en te melden.

De genoegdoening voor de onbekende onderzoeker kan zijn:

  • Geen strafrechtelijke aangifte en civielrechtelijke procedures;
  • Een publicatie van het bedrijf met de beschrijving van de casus. Hiermee ontvangt de onderzoeker erkenning voor zijn of haar werkzaamheden om kwetsbaarheden te vinden en te documenteren; en of
  • Een vergoeding in de vorm van een financiële genoegdoening en of een aanstelling om de bedrijfssystemen blijvend te hacken.

Het effectief organiseren van CVD is een krachtige beheers- en beveiligingsmaatregel die past binnen een cyberinformatiebeveiligingsstrategie.

De waardepropositie voor een bedrijf

Een effectieve organisatie van CVD biedt het bedrijf een waardepropositie. Voor elke bedrijfsorganisatie pakt de waardepropositie anders uit. Wij schetsen op hoofdlijnen de kosten en opbrengsten.

Kosten:

  • Registeren op het MYOBI Vertrouwensnetwerk. Bekijk hier de licentiekosten;
  • Gebruikmaken van de toepassing smart contracting;
  • Samenstellen van contractbibliotheek met contractenset en draaiboeken CVD; 
  • Erkenning van de onbekende onderzoeker; de ethical hacker;
  • Desgewenst op afroep het proces CVD laten managen; en
  • Op afroep gebruikmaken van een cybersecurity expert voor het beoordelen van de aangedragen kwetsbaarheden.

Opbrengsten:

  • Instellen van de krachtige beheers- en beveiligingsmaatregel CVD;
  • Versterken van reputatiemanagement door met leveranciers van IT-diensten en producten én ethische hackers afspraken te maken over het proces van Vulnerability Disclosure;
  • Voorkomen van aansprakelijkheids- en kostenrisico’s; en
  • Het gecontroleerd afhandelen van “de speld in een hooiberg” kost minder dan “het vinden van een speld in een hooiberg”.

Wat kunnen wij voor u doen?

MYOBI Vertrouwensnetwerk vervult de rol van vertrouwde partij. De Contract Board, waarin wij participeren, heeft een contractportfolio CVD uitgewerkt die door ons bedrijfsspecifiek gemaakt kan worden.

Na het volgen van het bewustwordings- en trainingsprogramma CVD kan een bedrijf de CVD beheersmaatregel implementeren en beheren. Als de capaciteit ontbreekt dan kan, op afroep, een professional van Duthler Associates de implementatie – in samenwerking met medewerkers – uitvoeren.

Leg uw vraag aan één van onze professionals voor

De effectiviteit van het organiseren van Coordinated Vulnerability Disclosure vraagt om een doortastende aanpak. Heeft u vragen voor uw specifieke organisatie neem dan contact met Caroline Willemse. Bekijk hier ook onze pagina van speciaal over de dienstverlening CVD.