Wat is de noodzaak van het toepassen van een Coordinated Vulnerability Disclosure (CVD)?

Door: Caroline Willemse en André Biesheuvel

Is uw organisatie weerbaar tegen cyberaanvallen of andere dreigingen?

Het beschermen van uw IT-infrastructuur en de toepassingen, inclusief de bedrijfs- en persoonsgegevens, is vaak een hele klus. De getroffen beheers- en beveiligingsmaatregelen in de bedrijfsprocessen waarmee de bedrijfsactiviteiten georganiseerd zijn moeten effectief zijn om incidenten en datalekken te voorkomen. De praktijk leert dat er in de beveiligingsorganisatie kwetsbaarheden bestaan, die de bescherming van systemen en gegevens ondermijnen. 

De beveiligingsorganisatie en onbekende onderzoekers ontdekken kwetsbaarheden in de IT-infrastructuur en de toepassingen. Het is de realiteit dat onbekende onderzoekers kwaadwillende hackers of een verongelijkte medewerker kunnen zijn die met slechts één kwetsbaarheid veel schade kunnen berokkenen. Er zijn echter ook onderzoekers die met uw bedrijf in contact willen treden om het bedrijf op een constructieve wijze op de hoogte te stellen van de geconstateerde kwetsbaarheden. Hiervoor is nodig dat een dergelijke ethische hacker op een doortastende en een effectieve wijze de gedocumenteerde kwetsbaarheid kan voorleggen aan de beveiligingsorganisatie van het bedrijf.

Aan u de taak om uw bedrijfsorganisatie weerbaar te maken tegen cyberaanvallen, kwetsbaarheden of andere dreigingen. In de meeste gevallen laat de wetgever dat helemaal aan u over. U mag uw eigen risicoafweging maken en daaraan de volgens u benodigde maatregelen koppelen. De wetgever beschouwt echter informatieveiligheid, het op orde hebben van gegevenshygiëne, steeds meer als een wettelijke plicht. De Europese en nationale wetgevers stellen in nieuwe wetgeving kwaliteits- en beveiligingseisen aan systemen en aan het niveau van beveiliging dat u met maatregelen dient na te streven. Ook vraagt de wetgever u om een cyberinformatiebeveiligingsstrategie te formuleren.

Huidige en nieuwe wet- en regelgeving op het vlak van informatieveiligheid

Wanneer u een vitale aanbieder bent, een aanbieder van essentiële diensten, vertrouwensdiensten of een digitale dienstverlener, persoonsgegevens verwerkt of producten en diensten levert aan consumenten dan zult u de komende jaren steeds meer met cybersecurity gerelateerde wetgeving worden geconfronteerd. Hoewel een deel van deze nieuwe wetgeving nog moet worden ingevuld, kunt u zich daar nu al op voorbereiden.

Een onderdeel dat in de meeste cybersecuritywetgeving terug te vinden is, is de meldplicht bij cybersecurity incidenten. De kwetsbaarheid is dan een incident geworden. Deze meldplicht kan verschillen per sector en kan verschillende organisaties betreffen bij wie de melding moet worden gedaan. Denk aan de Autoriteit Persoonsgegevens (AP), de Autoriteit Consument & Markt (ACM), het NCSC of de sectorale toezichthouders. In sommige situaties meldt u aan twee of zelfs drie toezichthouders. Niet melden kan leiden tot handhaving en hoge boetes.

Een onvolledige inventarisatie wetgeving

Informatieveiligheid is onderdeel van de Europese Algemene Verordening Gegevensbescherming (AVG). De wetgever vraagt aan iedere organisatie die persoonsgegevens verwerkt passende en effectieve beheers- en beveiligingsmaatregelen “by design” in de bedrijfsprocessen te treffen en de werking hiervan vast te stellen.

Het bedrijfsmatig borgen van cybersecurity maakt de wetgever voor aangewezen sectoren of organisaties onderwerp van verplichtingen in onder andere de Telecommunicatiewet, de Wet beveiliging netwerk- en informatiesystemen (Wbni) die gebaseerd is op de Europese richtlijn Netwerk- en Informatiebeveiliging (NIB-richtlijn) en de EU Verordening rondom elektronische vertrouwensdiensten (eIDAS-Verordening). Het algemeen belang van een samenleving is gebaat met een veilig internet. 

In de relatie tussen bedrijf en consument (B:C), kennen wij de conformiteitsverplichtingen voor geleverde digitale producten en diensten. De handelaar en verkoper zorgen voor de consument dat producten en diensten weerbaar zijn tegen cybercriminelen.

Het bedrijf wenst de bedrijfsgeheimen te beschermen

De continuïteit van de bedrijfsvoering is afhankelijk van het ontwikkelen, beheren en onder regie toepassen van bedrijfsgeheimen. De Europese wetgever erkent het belang van het managen van bedrijfsgeheimen en heeft de richtlijn betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan vastgesteld. Deze richtlijn is door de nationale wetgever geïmplementeerd in de Wet bescherming bedrijfsgeheimen(Wbb). Een bedrijf heeft met de Wbb een krachtig instrument haar bedrijfsgeheimen te beschermen maar moet dat wel aantoonbaar organiseren en nakomen. Zo zijn getroffen beveiligingsmaatregelen, die aantoonbaar werken, nodig om een beroep te kunnen doen op de wettelijke bescherming van bedrijfsgeheimen.  

Kent u de kwetsbaarheden in de beveiliging?

Het signaleren, documenteren, analyseren en wegnemen van de kwetsbaarheden in de beveiliging zijn voor het organiseren van de compliance met wettelijke en contractuele verplichtingen op het vlak van verwerken van bedrijfs- en persoonsgegevens en bedrijfsgeheimen essentieel.  

Coordinated Vulnerability Disclosure

De interne en externe beveiligingsorganisatie én onbekende onderzoekers signaleren kwetsbaarheden in beheers- en beveiligingsmaatregelen ter bescherming van de IT-infrastructuur en de toepassingen met gegevens. 

Om onbekende onderzoekers te stimuleren kwetsbaarheden te melden en het in goede banen leiden van het proces van bekendmaken van kwetsbaarheden maakt een bedrijf gebruik van Coordinated Vulnerability Disclosure (CVD). Hiermee is de CVD-beheersmaatregel een essentieel onderdeel van de informatiebeveiligingsstrategie en het -beleid.

Een CVD creëert een systeem voor organisaties en onderzoekers om samen te werken, kwetsbaarheden te vinden voordat ze kunnen worden misbruikt, essentiële gegevens te beschermen tegen uitbuiting en cybercriminelen een stap voor te blijven.

De onderzoekers moeten contact opnemen met de organisatie op de wijze zoals aangegeven in de Verklaring CVD op de website van het bedrijf en voldoende details verstrekken om de kwetsbaarheid te verifiëren en te reproduceren. Gedurende het afhandelen van de melding door het bedrijf houden de onderzoekers de specifieke technische details van de kwetsbaarheden vertrouwelijk en veilig.

Het implementeren van een effectief en efficiënt proces voor het vrijgeven van kwetsbaarheden kan het risico verminderen dat beveiligingsfouten worden misbruikt door cybercriminelen.

ENISA is in Europa de drijvende kracht achter het organiseren van CVDzie Coordinated Vulnerability Disclosure policies in the EU. In Europees verband verzorgt het NCSC de Nederlandse inspanningen, zie de leidraad Coordinated Vulnerability Disclosure.

MYOBI heeft – zoals ENISA adviseert in haar Good Practice Guide – de leidraad CVD geoperationaliseerd voor bedrijven en gebruikers van het vertrouwensnetwerk (zie: “Effectief organiseren van een Coordinated Vulnerability Disclosure”.

Conclusie en vervolg

Wij hebben in deze blog de noodzaak van CVD voor een bedrijfsorganisatie op hoofdlijnen beschreven. In de volgende blog bespreken wij het praktisch en kostenefficiënt organiseren van een CVD.

Leg uw vraag aan één van onze professionals voor

De effectiviteit van het organiseren van Coordinated Vulnerability Disclosure vraagt om een doortastende aanpak. Heeft u vragen voor uw specifieke organisatie neem dan contact met Caroline Willemse. Bekijk hier ook onze pagina van speciaal over de dienstverlening CVD.



Avatar foto
Author: Caroline Willemse
Caroline is hoofd risk- en compliancemanagement binnen Duthler Associates. Caroline helpt bedrijven en instellingen verder om het beste resultaat te halen. Neem gerust contact op met Caroline.