of 59250 LinkedIn

Ethische hackers kunnen helpen

Ethische hackers kunnen helpen. Hackers hou je natuurlijk het liefst buiten de deur. Maar hoe goed je de beveiliging van je organisatie ook dichttimmert, een schoonheidsfoutje is snel gemaakt
KPN Lokale Overheid Reageer

Hackers hou je natuurlijk het liefst buiten de deur. Maar hoe goed je de beveiliging van je organisatie ook dichttimmert, een schoonheidsfoutje is snel gemaakt. Dan kan het helpen om welwillende hackers bewust hun gang te laten gaan in ruil voor een beloning. Op voorwaarde dat ze bepaalde spelregels volgen en zwakke plekken met je delen. Die afspraken regel je met ‘responsible disclosure’-beleid.

Help hackers helpen

Niet alle hackers hebben kwaad in de zin. Zogeheten ethische of white hat hackers willen hun kennis en ervaring juist inzetten om het internet veilig te houden door kwetsbaarheden aan het licht te brengen. Zonder toestemming een systeem binnendringen is normaal strafbaar, maar de overheid wil hackers juist stimuleren om mee te helpen in de strijd tegen cybercriminelen. Het is dan wel van belang dat die hackers niet kiezen voor full disclosure, waarbij ze lekken volledig openbaar maken en juist kwaadwillenden in de kaart spelen. Beter is het als ze alleen de betreffende organisatie op de hoogte brengen: responsible disclosure. Daarvoor is het belangrijk dat je duidelijk maakt hoe je meldingen wilt ontvangen en welke regels je organisatie hanteert. Met een responsible disclosure-beleid maak je afspraken met white hat hackers over de voorwaarden waaronder ze je systeem binnen mogen dringen. En zolang zij zich aan die voorwaarden houden, beloof jij geen aangifte te doen.


Leidraad en voorbeelden

Om bedrijven en andere organisaties op weg te helpen met het ontwikkelen van responsible disclosure-beleid heeft het Nationaal Cyber Security Centrum (NCSC) in samenwerking met onder andere technoloog Floor Terra een leidraad voor responsible disclosure ontwikkeld. En op responsibledisclosure.nl vind je een voorbeeldtekst van een responsible disclosure-beleid. Vanaf het moment dat je het beleid op je website publiceert kunnen ethische hackers met een gerust hart voor je aan de slag. Op de websites van veel grote bedrijven, zoals KPN, Deloitte en Vrije Universiteit Amsterdam kun je zien hoe zij invulling geven aan dit beleid. Je geeft aan binnen welke grenzen hackers moeten blijven, hoe je meldingen over zwakke plekken wilt ontvangen en wat je daar vervolgens mee gaat doen.


Hoe ga je om met meldingen?

Als je meldingen binnenkrijgt over kwetsbaarheden in je systeem, dan is het natuurlijk zaak dat je ze netjes afhandelt. Zorg ervoor dat je lekken binnen een bepaalde termijn – bijvoorbeeld 60 dagen – dicht alvorens de problemen publiek bekend te maken. Houd de melder daarbij steeds op de hoogte van de voortgang. Als het probleem ook voor andere organisaties relevant lijkt, kun je afspreken meer mensen uit de ICT-community te informeren, bijvoorbeeld in overleg met het NCSC. Overweeg ten slotte zeker om de melder een passende beloning te geven, afhankelijk van de ernst van het probleem en de kwaliteit van de melding.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Overvolle vuilcontainers

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Is de BIG al ingeburgerd in uw informatiebeveiliging?

Afbeelding

Afbeelding

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers