Responsible Disclosure door KPN-CERT

KPN-CERT zal gerapporteerde kwetsbaarheden coördineren bij de getroffen ontwikkelaar.

Een passend tijdschema voor mitigatie ontwikkeling, type en planning van publicatie zal worden bepaald met in acht neming van de betrokken factoren.  Afhankelijk van de omstandigheden, zoals actief misbruik, bedreigingen van serieuze aard, of situaties die veranderingen vereisen aan een standaard kunnen resulteren in een eerdere of latere publicatie. Andere betrokken factoren:

– Of de kwetsbaarheid al publiek gemaakt is.
– De hevigheid van de kwetsbaarheid.
– De potentiele impact op kritieke infrastructuur.
– De mogelijke dreiging voor publieke gezondheid en veiligheid.
– De direct beschikbare mitigerende middelen.
– De communicatie met de ontwikkelaar en de haalbaarheid van het ontwikkelen van een update of patch.
– De schatting van de ontwikkelaar aangaande de tijd die nodig is om de patch te verkrijgen, testen en toe te passen bij klanten.

De naam en contactinformatie van de melder zal worden doorgegeven aan de ontwikkelaar, tenzij anders verzocht door de melder. KPN-CERT zal de melder informeren over significante veranderingen in de status van de gemelde kwetsbaarheid, zonder dat hierbij informatie word gedeeld die in vertrouwen door de ontwikkelaar is verstrekt.

De getroffen ontwikkelaars zullen op de hoogte gebracht worden over publicatieplannen en wijzigingen op publicatiedata zullen worden overlegd met de ontwikkelaar als nodig.

Wanneer een ontwikkelaar niet reageert of geen passend tijdschema voor het oplossen van de kwetsbaarheid samenstelt, zal KPN-CERT 45 dagen na het eerste contact publiceren, ongeacht het bestaan of beschikbaarheid van patches of workarounds door de ontwikkelaar.

Het doel van dit beleid is balans tussen informatie over kwetsbaarheden binnen de telecommunicatie gemeenschap en de tijd die de ontwikkelaar nodig heeft om accuraat en tijdelijk te reageren. De uiteindelijke beslissing voor type en datum van publicatie wordt gebaseerd op de belangen van de gehele gemeenschap.

Het KPN-CERT kwetsbaarheden oplossingsproces bestaat uit vijf stappen:

– Detectie / Collectie – KPN-CERT verzamelt rapporten met kwetsbaarheden op drie manieren: KPN-CERT kwetsbaarheden analyse, monitoren van publieke bronnen met kwetsbaarheden informatie en directe notificatie van kwetsbaarheden bij KPN-CERT. Na ontvangst van een rapport zal KPN-CERT een initiële oppervlakkige analyse doen om duplicaten en valse alarmen te elimineren. Daarna zal KPN-CERT de kwetsbaarheden indexeren met alle bijbehorende informatie (publiek en privaat) die bekend is op dat moment.

– Analyse – Wanneer die kwetsbaarheden zijn geïndexeerd zullen KPN-CERT en de ontwikkelaar de kwetsbaarheid analyseren om deze te begrijpen en de mogelijke bedreigingen en obstakels te identificeren.

– Coördinatie van mitigatie – Na de analyse zal KPN-CERT blijven samenwerken met de ontwikkelaar om tot een oplossing voor het probleem te komen. KPN-CERT heeft vertrouwensbanden opgebouwd met telecommunicatieapparatuur leveranciers voor het melden van kwetsbaarheden, testen van technologie en algeheel technologisch assessment. Samen met de ontwikkelaar zal een passend tijdschema worden bepaald om de patch te kunnen ontwikkelen en testen. Aanvullend heeft KPN-CERT ervaring met het succesvol  coördineren van reactie op kwetsbaarheden die meerdere ontwikkelaars van een product behelzen.

– Toepassen van mitigatie – KPN-CERT werkt samen met de ontwikkelaar om te zorgen voor voldoende tijd voor de gebruikers om de oplossing te kunnen vergaren, testen en implementeren voordat de kwetsbaarheid word gepubliceerd.

– Publicatie – Na coördinatie met de ontwikkelaar en verzamelen en analyse van technische informatie en dreigingen, zal KPN-CERT de nodige stappen nemen om de gebruikers te informeren over de kwetsbaarheid. KPN-CERT streeft ernaar te voorzien in objectieve, neutrale en accurate informatie voor de systeemeigenaren en gebruikers. KPN-CERT zal verwijzen naar externe bronnen wanneer dat nodig is en onjuiste informatie corrigeren waar mogelijk.