Op maandag 29 oktober komt ICT~Office met het bericht dat telecomproviders in Nederland met een responsible disclosure beleid komen. Dat vind ik een erg goede ontwikkeling, maar dat is geen reden om niet kritisch te zijn. In deze blogpost vergelijk ik het responsible disclosure beleid van deze telecombedrijven en leg ik voor elk punt uit waarom dat belangrijk is.
Deze pagina zal voorlopig regelmatig updates krijgen. Zowel inhoudelijk als voor het aanvullen van ontbrekende bedrijven. (Update: er komen geen updates meer)
| KPN | T-Mobile | Tele2 | UPC | Vodafone | Ziggo | |
|---|---|---|---|---|---|---|
| Beschikbaar | X | X | X | X | X | X |
| Begrijpelijk | X | X | X | X | X | X |
| Terugkoppeling | X | ~ | ~ | ~ | X | X |
| Gedragscode | X | X | X | X | X | X |
| Beloning | ~ | |||||
| Credits | X | X | ||||
| Publicatie | X | X | X | X | X | |
| Veilig | X | X | ||||
| Anoniem | X | X | X | X | ||
| Aansprakelijkheid | X | X | X | X | X |
Legenda: X: OK, ~: Matig, blanco: niet aanwezig of slecht
Beschikbaar
Het lijkt misshien flauw om deze te beoordelen, maar daar zijn twee redenen voor. Om te beginnen zijn niet alle responsible disclosure programma’s al online beschikbaar. Zodra ze beschikbaar komen zal ik ze aanvinken en beoordelen op de andere criteria. Maar het zou ook kunnen dat een bedrijf wel een responsible disclosure procedure heeft, maar deze niet publiek toegankelijk geeft gemaakt. Als vinder van een lek moet het melden zo laagdrempelig mogelijk zijn en een verborgen uitleg van de procedure is een onnodig obstakel.
Begrijpelijk
Hackers zijn geen juristen. De tekst moet kort en begrijpelijk zijn.
Terugkoppeling
Het is erg demotiverend als je een lek meld en vervolgens geen reactie krijgt. Je weet niet of het bericht niet aangekomen is, of dat er besloten is om het lek niet te dichten. Daarom is het erg belangrijk om aan te geven binnen hoeveel tijd een melder een reactie zal krijgen en welke informatie teruggekoppeld zal worden (en welke niet).
Gedragscode
Voor een bedrijf kan het eng zijn om je kwetsbaar op te stellen. Maar als je een responsible disclosure procedure hebt kan je dat ook juist gebruiken om duidelijke grenzen te stellen. Wat zie je als acceptabel gedrag, maar vooral ook wat niet? Je zou er bijvoorbeeld voor kunnen kiezen om bepaalde klassen kwetsbaarheden (zoals bijvoorbeeld een DDoS aanval) niet te accepteren bij als een verantwoorde melding.
Beloning
Hackers die lekken melden verlenen een gratis, maar waardevolle dienst. Er is ook geen enkele verplichting om te melden volgens het proces zoals het bedrijf het aangegeven heeft. Om toch een motivatie te geven om net even de extra moeite te nemen kan het verstandig zijn om een beloning aan te bieden. Dat hoeft geen geldbedrag te zijn (mag wel!), maar ludieke kado’s doen het ook goed. Denk bijvoorbeeld aan een tshirt met de tekst “I hacked $bedrijfsnaam and all I got is this lousy tshirt!”. Voor de interne organisatie geeft dit ook een duidelijk signaal dat meldingen erg gewaardeerd worden en het zal werknemers motiveren om meldingen goed op te pakken.
Credits
Naast een materiele beloning is publieke waardering erg waardevol voor veel hackers. Geef daarom in alle publicaties over de lek een eervolle vermelding voor de melder als diegene dat wilt.
Publicatie
De kern van responsible disclosure is het verantwoordelijk publiceren van beveiligingslekken. De publicatie staat voorop zodat klanten gewaarschuwd worden en de maatschappij kan leren van de fouten.Het is daarom ook heel belangrijk om duidelijkheid te geven over de publicatie. Ga er vanuit dat de lek gepubliceerd zal worden en beperk je tot het aangeven van de kaders (zoals het afspreken van een zo kort mogelijk periode van geheimhouding om de lek te dichten.).
Veilig
Als bedrijf zou ik niet willen dat informatie over kwetsbaarheden in mijn systemen onbeveiligd verstuurd zou worden. Het is dan ook aan te raden om in ieder geval een set pgp sleutels beschikbaar te hebben waarmee meldingen versleuteld verstuurd kunnen worden.
Anoniem
Sommige mensen hechten erg veel waarde aan hun privacy. Geeft deze mensen de kans om anoniem lekken te kunnen melden.
Aansprakelijkheid
Het melden van een beveiligingslek kan risicovol zijn voor de melden. Soms kan er een wet zijn overtreden bij het ontdekken van een lek, vaak kan er onduidelijkheid over bestaan. Het is daarom voor de melders heel waardevol om een toezegging te hebben dat ze niet vervolgt zullen worden zolang ze zich netjes aan de voorwaarden houden.