DMCC raadt organisaties aan om vooraf te bepalen hoe zij omgaan met iemand die zich illegaal toegang tot hun systemen verschaft.  Alhoewel dit onwettig en dus strafbaar is, kan deze signalering wel nuttig en gewenst zijn.  Dit bleek maar weer eens toen een relatie recent een kwetsbaarheid op één van onze systemen opmerkte.

Nut en noodzaak

Het is tegenwoordig niet meer de vraag of maar wanneer je gehackt wordt. Als die realiteit tot je doordringt, zie je meteen het nut – of de noodzaak- van Responsible Disclosure. In dat geval wordt bij de ontdekking van een beveiligingslek door de hacker en de organisatie afgesproken dat de melder de ontdekking niet openbaar maakt totdat het lek verholpen is. De organisatie belooft op haar beurt geen juridische stappen tegen de melder te nemen.

Vrijwaren en belonen

Niemand zit natuurlijk te wachten op een beveiligingsincident of datalek. Maar hoe jij omgaat met de constatering kan wel het verschil uitmaken. Ethische hackers zijn vaak welwillend als ze weten hoe jouw organisatie omspringt met eventuele gedetecteerde datalekken. Ook ethisch hacken is immers een illegale bezigheid. Door beleid te formuleren en ethische hackers onder voorwaarden te vrijwaren van vervolging, kan de datasecurity van je organisatie erop vooruit gaan. Er zijn zelfs bedrijven die hackers belonen voor een melding. Kijk bijvoorbeeld naar marktplaats en hun responsible disclosure program: https://www.marktplaats.nl/i/help/veilig-en-succesvol/responsible-disclosure-program.dot.html 

NCSC leidraad

Het Nationaal Cyber Security Centrum (NCSC), verantwoordelijk voor een veilig stabiel geheel aan ICT toepassingen in Nederland, heeft een handige leidraad gepubliceerd om te komen tot een praktijk van Responsible Disclosure. En let op, want het kan natuurlijk wel zijn dat jij de ethische hacker omarmt, maar doen jouw belangrijkste verwerkers dat ook?

In de praktijk

Ook DMCC werd december jl. door een gebruiker geattendeerd op een kwetsbaarheid in de software van één van onze systemen. Met zijn hulp hebben we deze inmiddels weten te dichten.  We hadden hem graag in het zonnetje gezet, maar dat hoefde niet van hem. Het incident heeft ons wederom het belang van Responsible Disclosure bevestigd. Vandaar ons mantra: Omarm de ethische hacker.