Hall of Fame/Wall of Fame

Een Hall of Fame, ook wel Wall of Fame genoemd, is een publieke erkenningspagina waarop organisaties beveiligingsonderzoekers en ethische hackers vermelden die op verantwoorde wijze kwetsbaarheden hebben gemeld. Deze pagina's maken deel uit van een responsible disclosure-programma of bug bounty-programma en dienen als officieel eerbetoon aan onderzoekers die hebben bijgedragen aan de digitale veiligheid van een organisatie. Grote technologiebedrijven zoals Google, Microsoft en Apple onderhouden uitgebreide Hall of Fame-pagina's waarop duizenden beveiligingsonderzoekers worden erkend voor hun bijdragen.

Het concept van de Hall of Fame is nauw verbonden met de groei van het responsible disclosure-ecosysteem. Waar beveiligingsonderzoekers vroeger weinig erkenning kregen voor het melden van kwetsbaarheden, biedt een Hall of Fame nu een tastbare vorm van waardering. Voor onderzoekers functioneert vermelding op een Hall of Fame als een publiek portfolio dat hun expertise en track record aantoont. Platforms zoals Bugcrowd en HackerOne hebben de Hall of Fame-cultuur verder geprofessionaliseerd door gestandaardiseerde rankingsystemen en reputatiescores te introduceren. Organisaties die een Hall of Fame onderhouden, laten zien dat ze beveiligingsmeldingen serieus nemen en transparant omgaan met kwetsbaarheden.

Wat doet een Hall of Fame/Wall of Fame?

Een Hall of Fame vervult meerdere functies binnen het cybersecurity-ecosysteem van een organisatie. Ten eerste biedt het publieke erkenning aan beveiligingsonderzoekers die kwetsbaarheden op verantwoorde wijze melden. Deze erkenning is een krachtige motivator: onderzoekers bouwen hun reputatie op door vermeldingen op Hall of Fame-pagina's van gerenommeerde organisaties. De vermelding bevat doorgaans de naam of het pseudoniem van de onderzoeker, soms aangevuld met de datum van melding en het type kwetsbaarheid.

Ten tweede fungeert een Hall of Fame als onderdeel van het vulnerability disclosure-beleid van een organisatie. Door onderzoekers publiekelijk te erkennen, stimuleer je hen om kwetsbaarheden via het officiele kanaal te melden in plaats van de informatie te verkopen op het dark web of publiekelijk te onthullen voordat een patch beschikbaar is. Dit draagt bij aan een veiliger digitaal ecosysteem voor alle betrokkenen.

Ten derde versterkt een Hall of Fame het vertrouwen van klanten en stakeholders. Een actief bijgehouden Hall of Fame toont aan dat een organisatie proactief investeert in beveiliging en openstaat voor externe input. Het signaleert dat er een volwassen beveiligingsproces is ingericht waarin meldingen serieus worden afgehandeld. Organisaties zoals de Wereldgezondheidsorganisatie gebruiken hun Hall of Fame ook als transparantie-instrument richting het publiek.

Wanneer heb je een Hall of Fame nodig?

Je hebt een Hall of Fame nodig zodra je organisatie een responsible disclosure-beleid of bug bounty-programma opzet. Als je externe beveiligingsonderzoekers uitnodigt om kwetsbaarheden in je systemen te zoeken en te melden, is een Hall of Fame een essentieel onderdeel van dat programma. Het geeft onderzoekers een reden om met je samen te werken en vergroot de aantrekkelijkheid van je programma ten opzichte van andere organisaties.

Voor organisaties die vallen onder de NIS2-richtlijn of de aankomende Cyber Resilience Act wordt het steeds relevanter om een gestructureerd vulnerability disclosure-beleid te hebben. Een Hall of Fame is daarbij geen wettelijke verplichting, maar wel een best practice die door het NCSC en ENISA wordt aanbevolen. Het NCSC adviseert Nederlandse organisaties expliciet om responsible disclosure-beleid in te richten, inclusief een vorm van erkenning voor melders.

Ook voor het MKB kan een eenvoudige Hall of Fame-pagina waardevol zijn. Je hoeft geen uitgebreid bug bounty-programma met financiele beloningen op te zetten. Een simpele webpagina waarop je melders bedankt, is al voldoende om goede wil te tonen en het melden van kwetsbaarheden te stimuleren. Begin met een duidelijk responsible disclosure-beleid op je website en voeg een sectie toe waar je onderzoekers bij naam erkent. Het opzetten van een basisprogramma kost weinig tijd en kan al binnen een dag worden gerealiseerd met een dedicated pagina op je bestaande website.

Wat kost een Hall of Fame?

De kosten voor een Hall of Fame varieren sterk afhankelijk van de opzet. Een eenvoudige Hall of Fame-pagina op je website kost vrijwel niets, behalve de tijd om de pagina aan te maken en bij te houden. Je plaatst een statische pagina met de namen van onderzoekers die kwetsbaarheden hebben gemeld, aangevuld met een bedankje en eventueel de datum van vermelding.

Als je een Hall of Fame koppelt aan een bug bounty-programma worden de kosten hoger. Bug bounty-platforms zoals HackerOne en Bugcrowd rekenen maandelijkse abonnementskosten die beginnen rond de 1.000 euro per maand voor een basisabonnement. Daarbovenop komen de bounties zelf: beloningen voor gemelde kwetsbaarheden varieren van 50 euro voor lage-impact bevindingen tot meer dan 50.000 euro voor kritieke kwetsbaarheden bij grote techbedrijven. Het Nederlandse bedrijfsleven hanteert doorgaans beloningen tussen de 100 en 5.000 euro per geldige melding.

De indirecte kosten zitten in het afhandelen van meldingen. Je hebt iemand nodig die binnenkomende meldingen beoordeelt, communiceert met onderzoekers, de kwetsbaarheid valideert en de patch coordineert. Voor een actief programma kost dit al snel 8 tot 16 uur per week aan personeelsinzet. Veel organisaties besteden dit uit aan een managed bug bounty-dienstverlener die het hele proces afhandelt, inclusief triage, communicatie en betaling aan onderzoekers. Dit ontlast je interne beveiligingsteam en zorgt voor een professionele afhandeling van elke melding die binnenkomt via het programma.

Veelgestelde vragen over Hall of Fame/Wall of Fame

Wat is het verschil tussen een Hall of Fame en een bug bounty-programma?

Een Hall of Fame is een erkenningspagina die onderzoekers publiekelijk bedankt. Een bug bounty-programma biedt daarbovenop financiele beloningen voor gemelde kwetsbaarheden. Je kunt een Hall of Fame hebben zonder bug bounty, maar de meeste bug bounty-programma's bevatten automatisch een Hall of Fame-component.

Moet je een Hall of Fame hebben voor responsible disclosure?

Een Hall of Fame is niet wettelijk verplicht, maar het is een best practice die door het NCSC en internationale standaarden wordt aanbevolen. Het stimuleert onderzoekers om kwetsbaarheden verantwoord te melden en versterkt de relatie tussen je organisatie en de beveiligingsgemeenschap.

Hoe voorkom je misbruik van een Hall of Fame-programma?

Stel duidelijke spelregels op in je responsible disclosure-beleid. Definieer welke systemen in scope zijn, welke testtechnieken zijn toegestaan en wat je verwacht van onderzoekers. Beoordeel elke melding op kwaliteit en impact voordat je iemand toevoegt aan de Hall of Fame. Gebruik een triage-proces om ongeldige of dubbele meldingen te filteren. Stel een responsevenster in van maximaal vijf werkdagen voor de eerste reactie op een melding, zodat onderzoekers weten wanneer ze een terugkoppeling kunnen verwachten en niet geneigd zijn de kwetsbaarheid publiekelijk te openbaren.

Kan een Hall of Fame juridische risico's opleveren?

Mits je een duidelijk responsible disclosure-beleid hebt, zijn de juridische risico's beperkt. Het beleid moet expliciet toestemming geven voor het testen van je systemen binnen vastgestelde kaders. Het Openbaar Ministerie in Nederland hanteert richtlijnen die ethische hackers beschermen wanneer zij handelen binnen de grenzen van een responsible disclosure-beleid. De Leidraad Coordinated Vulnerability Disclosure van het NCSC biedt hiervoor een helder juridisch kader dat zowel de organisatie als de onderzoeker beschermt.

Richt een professioneel responsible disclosure-programma in. Vergelijk penetratietest-aanbieders op IBgidsNL.