We staan aan de vooravond van een transitie. Eén die een groot beroep doet op ons bewustzijn in het dagdagelijks omgaan met data. De privacygevoelige aard van data maakt de toegang ertoe van waarde voor derden, zoals hackers. De aandacht voor security is binnen het bedrijfsleven inmiddels gewekt.
Tekst: Ronald van Rooijen
Het is echter de vertaalslag naar actie die in de regel nog ontbreekt. Datalekken worden dan ook nog vaak onder het tapijt geschoven. Het ogenschijnlijk lage aantal meldingen datalekken houdt niet alleen verband met onwetendheid en schaamte van de lekkende bedrijven; het benadrukt vooral het gevoel overvallen te worden door de snel veranderende wereld.
Terwijl de aandacht voor veiligheid wereldwijd toeneemt, groeit ook de spagaat waarin bedrijven zich bevinden. De wens om een optimale customer experience te bieden, lijkt vooralsnog in contrast te staan met de hoogste niveaus van security. Een tweestrijd voor beheerders van websites en webshops. Immers, moet je een online platform dan maar uit veiligheidsoverwegingen dichttimmeren? Of zijn veiligheid en beleving verantwoord te verenigen? Wij pleiten voor scherpe veiligheidsmaatregelen en een kwetsbare houding; uitgangspunten die samenkomen in een responsible disclosure beleid.
Erkenning boven ontkenning
Enerzijds zorgt ICT voor enorme gebruiksmogelijkheden. Anderzijds zorgt de wereldwijde toepassing van ICT en de omvang hiervan dat ook de potentiële impact van kwetsbaarheden is vergroot. De tsunami aan nieuwe wetgeving is hier dan ook een logisch gevolg van. Er dienen maatregelen getroffen te worden om consumenten en bedrijven te beschermen. De AVG/GDPR-wetgeving komt hierin tegemoet. Aan ons allen de taak om de juiste voorzorgsmaatregelen te treffen.
Om kwetsbaarheden te beheersen en incidenten te voorkomen, zetten bedrijven steeds vaker een responsible disclosure beleid in. Middels dit beleid worden bezoekers van een website of webshop in de gelegenheid gesteld om melding te maken van een waargenomen kwetsbaarheid. Centraal bij het werken met responsible disclosure staat het verhelpen van de kwetsbaarheid en het verhogen van de veiligheid. De kracht van dit beleid is gebaseerd op een menselijke behoefte: die van erkenning. Wanneer je iets opmerkelijks aantreft op een platform en hiervan melding maakt is het wenselijk daarvoor erkenning te krijgen. Jouw visie op security vormt daarmee de basis voor het al dan niet ontwikkelen van een responsible disclosure beleid.
Bij afwezigheid van een responsible disclosure beleid bestaat de mogelijkheid dat, wanneer een hacker data onttrekt uit je platform, gegevens misbruikt worden. Kun je dit met een resonsible disclosure beleid voorkomen? Nee, dat zeker niet. Echter, door een uitnodiging tot melding te geven kun je het wel enigszins kanaliseren. Let wel, de kracht zit ‘m met name in de snelle opvolging ervan. Door direct te anticiperen op een melding ben je sneller bewust van (potentiële) kwetsbaarheden en kun je een datalek voorkomen, net als het boomerang effect van de mogelijk volgende media aandacht.
Aandacht van overheid
Het pro-actief beheersen van kwetsbaarheden wordt door de overheid al jaren aanbevolen. Reeds in 2013 stelde de overheid een leidraad op om te komen tot een praktijk van responsible disclosure. In het kader van de naderende GDPR is het de moeite waard te onderzoeken in hoeverre dit beleid voor jouw organisatie toepasbaar is. Wees je ook bewust van de verantwoordelijkheden. Met het voeren van een beleid voor responsible disclosure wordt beoogd dat in gezamenlijkheid door melder en organisatie een bijdrage wordt geleverd aan het verminderen van kwetsbaarheden in informatiesystemen. Het responsible disclosure laat echter de bestaande verantwoordelijkheden en verplichtingen onverlet. De leidraad is gratis te downloaden door op bovenstaande link te klikken.
De stap naar een responsible disclosure beleid
…is eigenlijk een kleine stap. Het uitdragen van responsible disclosure begint bij de beheerder van de website of webshop. Door het opstellen van het beleid maak je als organisatie duidelijk op welke wijze je wilt omgaan met de meldingen van kwetsbaarheden. Een beleidsteam bestaat doorgaans uit een ICT-jurist, het ontwikkelteam achter je website en of webshop en het management van de organisatie. Laatstgenoemde is eindverantwoordelijk voor het beleid en de uitvoering ervan. Het ontwikkelteam focust zich hoofdzakelijk op de geplande opvolging van een mogelijke melding. In de leidraad voor responsible disclosure worden de bouwstenen van het beleid besproken. Deze bouwstenen zien toe op de organisatie, de melder en het Nationaal Cyber Security Centrum (NCSC).
Er komt een melding binnen. En dan?
Wat doe je wanneer er daadwerkelijk melding wordt gemaakt van een (potentiële) kwetsbaarheid of een datalek? Iedere melding vraagt om een zorgvuldige follow-up, en zou in basis opgevolgd moeten worden vanuit het SLA proces.
1. Reproduceren
Je start met het controleren van de melding. Heeft melder het bij het juiste eind? Kun je inderdaad op dezelfde manier bij de data komen?
2. Sporenonderzoek
Gelijktijdig met stap 1 zoek je contact met de melder, al waarna een ‘sporenonderzoek’ start. Wie is deze persoon, en wat heeft deze persoon reeds met de data gedaan? Welke stappen heeft hij of zij afgelegd om bij deze constatering te komen? Mogelijk zijn de sporen van de melder traceerbaar in de logs.
3. Juridische conclusie
Vervolgens is het zaak om vanuit juridisch oogpunt naar de kwestie te kijken. Is hier volgens de wetgeving sprake van een datalek? Afhankelijk van de situatie dien je klanten en autoriteiten te informeren.
4. Aanpakken
Het optimaliseren van online veiligheid is een cyclisch proces: plan, do, check, act. De wijze waarop je met meldingen omgaat, verschilt in wezen niet met andere maatregelen die je treft om persoonsgegevens te beschermen.
Natuurlijk wil je dat jouw online platform ongestoord blijft functioneren en dat privacygevoelige data veiliggesteld is. Het verkrijgen van kennis over de kwetsbaarheden in de eigen systemen en de beveiliging hiervan verbeteren is daarmee noodzakelijk voor de eigen bedrijfsvoering. Omarm de kansen die de datagedreven maatschappij biedt, maar blijf alert op de voorzorgsmaatregelen die je treft om data te beschermen. Je kwetsbaar opstellen hoort bij deze tijd, ernaar handelen ook.
Ronald van Rooijen is managing partner bij FRMWRK.
Er is op dit moment 0 keer gereageerd op:
Stel kwetsbaarheden aan de kaak
Je kunt niet meer reageren op dit artikel.