9 maart 2018 2 min Auteur: Redactie

Ethische hackers helpen ondernemers

Hackers hou je natuurlijk het liefst buiten de deur. Maar hoe goed je de beveiliging van je bedrijf ook dichttimmert, een schoonheidsfoutje is snel gemaakt. Dan kan het helpen om welwillende hackers bewust hun gang te laten gaan in ruil voor een beloning. Op voorwaarde dat ze bepaalde spelregels volgen en zwakke plekken met je delen. Die afspraken regel je met ‘responsible disclosure’-beleid.

Help hackers helpen

Niet alle hackers hebben kwaad in de zin. Zogeheten ethische of white hat hackers willen hun kennis en ervaring juist inzetten om het internet veilig te houden door kwetsbaarheden aan het licht te brengen. Zonder toestemming een systeem binnendringen is normaal strafbaar, maar de overheid wil hackers juist stimuleren om mee te helpen in de strijd tegen cybercriminelen. Het is dan wel van belang dat die hackers niet kiezen voor full disclosure, waarbij ze lekken volledig openbaar maken en juist kwaadwillenden in de kaart spelen. Beter is het als ze alleen het betreffende bedrijf op de hoogte brengen: responsible disclosure. Daarvoor is het belangrijk dat je duidelijk maakt hoe je meldingen wilt ontvangen en welke regels je bedrijf hanteert. Met een responsible disclosure-beleid maak je afspraken met white hat hackers over de voorwaarden waaronder ze je systeem binnen mogen dringen. En zolang zij zich aan die voorwaarden houden, beloof jij geen aangifte te doen.

Leidraad en voorbeelden

Om bedrijven en andere organisaties op weg te helpen met het ontwikkelen van responsible disclosure-beleid heeft het Nationaal Cyber Security Centrum (NCSC) in samenwerking met onder andere technoloog Floor Terra een leidraad voor responsible disclosure ontwikkeld. En op responsibledisclosure.nl vind je een voorbeeldtekst van een responsible disclosure-beleid. Vanaf het moment dat je het beleid op je website publiceert kunnen ethische hackers met een gerust hart voor je aan de slag. Op de websites van veel grote bedrijven, zoals KPN, Deloitte en Vrije Universiteit Amsterdam kun je zien hoe zij invulling geven aan dit beleid. Je geeft aan binnen welke grenzen hackers moeten blijven, hoe je meldingen over zwakke plekken wilt ontvangen en wat je daar vervolgens mee gaat doen.

Hoe ga je om met meldingen?

Als je meldingen binnenkrijgt over kwetsbaarheden in je systeem, dan is het natuurlijk zaak dat je ze netjes afhandelt. Zorg ervoor dat je lekken binnen een bepaalde termijn – bijvoorbeeld 60 dagen – dicht alvorens de problemen publiek bekend te maken. Houd de melder daarbij steeds op de hoogte van de voortgang. Als het probleem ook voor andere organisaties relevant lijkt, kun je afspreken meer mensen uit de ICT-community te informeren, bijvoorbeeld in overleg met het NCSC. Overweeg ten slotte zeker om de melder een passende beloning te geven, afhankelijk van de ernst van het probleem en de kwaliteit van de melding.


Gerelateerde artikelen