Nederlandse overheid wil ethische hackers' disclosure-praktijken vormgeven

Het cyberbeveiligingscentrum van de Nederlandse overheid heeft richtlijnen gepubliceerd die het hoopt ethische hackers te stimuleren om beveiligingslekken op een verantwoorde manier te onthullen.

"Personen die een IT-kwetsbaarheid melden, hebben een belangrijke sociale verantwoordelijkheid, "zei het ministerie van Veiligheid en Justitie op donderdag, waarin richtlijnen werden aangekondigd voor ethisch hacken die werden gepubliceerd door het National Cyber ​​Security Center (NCSC).

White-hat hackers en beveiligingsonderzoekers spelen een belangrijke rol bij het beveiligen IT-systemen door kwetsbaarheden te vinden, zei het NCSC. Het centrum beweerde echter dat beveiligingsonderzoekers soms terughoudend zijn om kwetsbaarheden aan bedrijven bekend te maken, in plaats daarvan media-uitingen te gebruiken om kwetsbaarheden aan te kondigen, wat een ongewenste praktijk is omdat het een gat blootlegt voordat het is opgelost. (Zie ook "'Dappere' Hactivisten maken sociale verklaring, Scholar Says.")

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Met de gids wil de overheid organisaties een kader bieden voor hun eigen beleid voor verantwoorde openbaarmaking opstellen. Ivo Opstelten, minister van Veiligheid en Justitie, is van plan een breed gebruik van de richtlijnen voor verantwoorde openbaarmaking binnen de overheid aan te moedigen, zei hij in een brief aan het parlement.

Hoewel de uitgebrachte richtsnoeren geen invloed hebben op het bestaande wettelijke kader, moedigt partijen aan samen te werken om IT-systemen veiliger te maken, aldus het NCSC. Bedrijven en overheden kunnen bijvoorbeeld een gestandaardiseerd online formulier aanbieden dat door beveiligingsonderzoekers kan worden gebruikt om een ​​organisatie op de hoogte te stellen als ze een kwetsbaarheid hebben gevonden.

Het bedrijf en de onderzoeker kunnen ook overeenkomen om de kwetsbaarheid binnen een bepaalde tijd bekend te maken. frame. Een acceptabele periode voor het bekendmaken van softwarekwetsbaarheden is 60 dagen, terwijl een redelijke termijn om moeilijk te repareren hardwareproblemen te melden zes maanden is, zei het NCSC. Wanneer een organisatie besluit deze richtlijnen te volgen, moet zij in haar beleid opnemen dat zij geen gerechtelijke stappen zal ondernemen tegen ethische hackers die zich aan de regels houden.

Het Nederlandse Openbaar Ministerie behoudt echter de mogelijkheid om te vervolgen wanneer het vermoedt dat er misdaden zijn gepleegd, zei het ministerie van Veiligheid en Justitie.

Aanbevolen procedure

De persoon die de kwetsbaarheid ontdekt, moet deze rechtstreeks en zo snel mogelijk vertrouwelijk aan de eigenaar van het systeem melden, dus het lek kan niet door anderen worden misbruikt. Bovendien zal de ethische hacker geen social engineering-technieken gebruiken, noch een backdoor of kopie installeren, gegevens wijzigen of verwijderen van het systeem, gespecificeerd door de NCSC. Als alternatief zou een hacker een directorylijst in het systeem kunnen maken, volgens de richtlijnen.

Hackers zouden ook moeten afzien van het wijzigen van het systeem en niet herhaaldelijk toegang tot het systeem. Het gebruik van brute-force technieken om toegang te krijgen tot een systeem wordt ook ontmoedigd, aldus het NCSC. De ethische hacker moet er verder mee instemmen dat kwetsbaarheden pas bekend worden gemaakt nadat ze zijn opgelost en alleen met toestemming van de betrokken organisatie. De partijen kunnen ook beslissen om de bredere IT-gemeenschap te informeren als de kwetsbaarheid nieuw is of vermoed wordt dat meer systemen dezelfde kwetsbaarheid hebben, zei het NCSC.

Hoewel de verantwoordelijke openbaarmakingsprocedure in principe een zaak is voor de detector en de organisatie, kan het NCSC optreden als intermediair als een kwetsbaarheid rechtstreeks aan hem wordt gemeld.

"Ik denk dat dit een goede zaak is, vooral wanneer het NCSC optreedt als tussenpersoon," zei Ronald Prins, CEO van de Nederlandse veiligheid vaste Fox-IT. Een van de problemen waarmee ethische hackers worden geconfronteerd, is dat ze moeite hebben om serieus te worden genomen als ze een kwetsbaarheid voor een bedrijf melden en ze het moeilijk hebben om de juiste persoon te bereiken, zei hij.

Als een organisatie wordt gecontacteerd over een beveiligingslek door een officiële overheidsorganisatie als het NCSC, zal het waarschijnlijk de waarschuwing serieuzer nemen, voegde hij eraan toe. Online formulieren die worden gebruikt om de kwetsbaarheid rechtstreeks aan de juiste persoon binnen een organisatie te rapporteren, kunnen ook helpen.

Hoewel er binnen de richtlijnen weinig flexibiliteit is voor ethische hackers, zei Prins dat hij begreep waarom de overheid dat deed. Het voorkomt dat ethische hackers de grens overschrijden, zei hij.

"Ik zie dat sommige mensen teleurgesteld zijn", omdat het Openbaar Ministerie nog steeds gerechtigd is te vervolgen wanneer zij dat nodig achten, zei Prins. Maar het is onmogelijk om dit niet te doen, voegde hij eraan toe. "Ik zou heel blij zijn als iemand een probleem meldt dat hij heeft gevonden," zei hij. Maar als die persoon dagen doorbrengt met zijn systemen om binnen te geraken, zou Prins zeker overwegen een juridische klacht in te dienen, zei hij.

Loek is Amsterdam Correspondent en behandelt online privacy, intellectuele eigendom, open-source en online betalingsproblemen voor de IDG Nieuws Service. Volg hem op Twitter via @loekessers of e-mailtips en opmerkingen naar [email protected]