Het Nationaal Cyber Security Centrum (NCSC), samen met de Amerikaanse NSA, het Britse National Cyber Security Centre, het Amerikaanse cyberagentschap CISA en het Japanse JPCERT-CC, hebben gezamenlijk richtlijnen gepubliceerd voor de omgang met bugmelders. In hun document over Coordinated Vulnerability Disclosure (CVD) benadrukken zij dat softwarebedrijven kwetsbaarheden niet stilletjes moeten patchen en geen geheimhoudingsovereenkomsten (NDA's) moeten afdwingen bij onderzoekers die beveiligingslekken melden.
Een CVD-programma beschrijft hoe organisaties omgaan met gerapporteerde kwetsbaarheden, welke systemen onderzocht mogen worden en waar meldingen kunnen worden ingediend. Volgens de betrokken overheidsinstanties moet de veiligheid van klanten centraal staan, waarbij onderzoekers niet worden beperkt in het publiceren van kwetsbaarheden. Silent patching, waarbij een leverancier een kwetsbaarheid oplost zonder hierover te communiceren, wordt afgeraden. Softwarebedrijven dienen in hun CVD-programma duidelijk te maken wanneer zij kwetsbaarheden verhelpen en hoe zij hierover communiceren met klanten en onderzoekers.
Daarnaast adviseren de instanties om gemelde beveiligingslekken daadwerkelijk te verhelpen en hiervoor CVE-nummers aan te vragen. Transparante communicatie richting klanten over de impact, oorzaak en mogelijke mitigaties is essentieel. Ook wordt aanbevolen om onderzoekers te belonen of hun naam te vermelden als erkenning voor hun bijdrage. Volgens CISA kunnen organisaties met een goed ingericht CVD-programma aantonen dat zij de beveiliging van hun gebruikers serieus nemen.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *