Hoe ga je om met een melding van een kwetsbaarheid door een hacker?

Ethisch hackers melden kwetsbaarheden door er actief naar op zoek te gaan (bijvoorbeeld binnen een zogenoemd ‘researcher program’) of doordat ze er in het gebruik van een online omgeving op stuiten en een responsible disclosure beleid ze in staat stelt deze kwetsbaarheid te melden. Maar wat dan? Hoe reageer je op meldingen die binnenkomen en op welke wijze communiceer je met de ethisch hackers?

Ontvangstbevestiging

De eerste stap is om een ontvangstbevestiging te sturen naar de hacker. De tijd tussen de melding en de ontvangstbevestiging van de desbetreffende organisatie verschilt. De overheid hanteert over het algemeen drie werkdagen. Zerocopter en andere bedrijven als Netflix en Github beloven om zo snel mogelijk te reageren. Wanneer je een responsible disclosure online hebt staan, vermeld je daar in binnen welke tijd je reageert.

Verhelpen van het probleem

Nadat de melding is binnengekomen gaat de tijd lopen. De ethisch hacker zal weliswaar niet naar buiten treden met de informatie maar de kwetsbaarheid is ook voor anderen zicht- en vindbaar. Om de melding te verwerken en de kwetsbaarheid op te lossen heb je voor software-meldingen in principe 60 dagen. Hardware-problemen zijn in de regel lastiger op te lossen, daarvoor staat een standaardtermijn van 6 maanden.

Om het probleem op te lossen is het belangrijk om de melder en je eigen IT-team met elkaar in contact te brengen. De melder heeft de kwetsbaarheid gevonden en je eigen medewerkers kennen de online omgeving en weten hoe ze het geheel moeten oplossen.

In de fase waarin het probleem wordt opgelost is het van belang om de melder actief bij de oplossing te betrekken. Communiceer daarin met hem of haar, afhankelijk van hoe betrokken de melder wil zijn. Hoe beter je inspeelt op zijn of haar voorkeur hoe groter de kans dat diegene je nog een keer wilt helpen.

Communicatie

Wanneer je bijlages op en neer stuurt met de melder is het aan te raden deze te versleutelen. Dat is de enige manier om zeker te zijn dat er niemand anders achter je nog bestaande veiligheidslek kan komen. Het wordt aangeraden om met een PGP-versleuteling te werken en de zogeheten publieke PGP-sleutel online te zetten. Daarmee kunnen mensen je versleutelde bestanden sturen die alleen jij kunt openen (daarvoor heb je je eigen sleutel nodig gecombineerd met je wachtwoord).

Meldplicht

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties direct melding moeten doen bij de Autoriteit persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.

Next up