door Rejo Zenger |

Responsible Disclosure Leidraad moet meer in balans

De Responsible Disclosure Leidraad moet veel meer in balans worden gebracht om eer te doen aan het belang van veilig IT-infrastructuur.

Doordat technologie steeds meer mogelijk maakt, is de potentiële impact van kwetsbaarheden ook steeds groter. Niet alleen moet de leidraad gebalanceerder, ook de bestuurs- of strafrechtelijke consequenties moeten meer in balans.

Groeiende impact van kwetsbaarheden in IT-systemen

Er is nog maar weinig in onze maatschappij waarin informatie- en communicatie­technologie geen belangrijke rol speelt. Die technologie maakt steeds meer mogelijk, met ook als gevolg dat kwetsbaarheden potentieel een enorme impact kunnen hebben. Om het functioneren van die systemen én de daarin opgeslagen gegevens zoveel mogelijk te beschermen, is het belangrijk dat kwetsbaarheden zo snel mogelijk worden opgemerkt zodat de beveiliging van kwetsbare systemen kan worden verbeterd. De maatschappij in het algemeen en de beheerders van systemen in het bijzonder hebben dan ook baat bij meldingen van kwetsbaarheden.

Om de impact van deze kwetsbaarheden zo veel mogelijk te beperken is het van belang dat ook de melding op een verantwoorde wijze gebeurt. Voor beveiligingsonderzoekers1 is het daarom van belang te weten hoe de beheerder om zal gaan met een melding van een kwetsbaarheid. Dat wordt gewoonlijk geregeld in een Responsible Disclosure-beleid. De Nederlandse overheid heeft in haar Leidraad Responsible Disclosure “de bouwstenen” van zo’n beleid geformuleerd. De leidraad optimaliseert het klimaat voor het melden van kwetsbaarheden echter niet voldoende.

Responsible Disclosure-leidraad moet meer in balans

Er zijn tenminste drie punten die verbetert kunnen worden:

  • De verhouding tussen de verantwoordelijkheden van de beveiligings­onderzoeker en de beheerder moet meer in balans worden gebracht. In de huidige leidraad zijn de verantwoordelijkheden van de beheerder vrijblijvend (“de organisatie kan”), terwijl de onderzoeker vooral met verplichtingen te maken krijgt (“de melder zal”). Ten einde een klimaat te creëren waarbij onderzoekers zich vrij voelen om een kwetsbaarheid bij een beheerder te melden, moeten de verhoudingen in balans zijn.
  • Bepaalde type kwetsbaarheden, zoals social engineering, brute-force en denial of service-aanvallen, mogen niet langer op voorhand zijn uitgesloten. De juiste mate van beveiliging is immers afhankelijk van het systeem en/of de gegevens die worden beveiligd. Een systeem waarmee binnenshuis de verlichting aangestuurd kan worden hoeft niet persé bestand te zijn tegen een aanval waarbij social engineering wordt ingezet, maar voor het systeem voor het beheer van een kerncentrale ligt dat anders. Het ligt daarom voor de hand om typen aanvallen te beoordelen in verhouding tot het type systeem of de soort gegevens die worden beveiligd, danwel elke melding te accepteren.
  • Alle kwetsbaarheden moeten openbaar gemaakt kunnen worden (na het oplossen van de kwetsbaarheid of na het verstrijken van een redelijke termijn hiervoor). Als een gevonden kwetsbaarheid niet openbaar wordt gemaakt, kunnen anderen hiervan niet leren. Als een gevonden kwetsbaarheid niet opgelost wordt (en daarom niet openbaar wordt gemaakt), is de kwetsbaarheid blijvend en wordt deze vroeg of laat misbruikt.

Ook bestuurs- of strafrechtelijke consequenties moeten gebalanceerder

Het afdwingen van afdoende bescherming van systemen en/of gegevens is niet alleen afhankelijk de leidraad zelf. De leidraad regelt weinig over de bestuurs- of strafrechtelijke consequenties voor de beveiligingsonderzoeker en de beheerder van het systeem. Idealiter heeft de onderzoeker niets te vrezen en spant de beheerder zich in om kwetsbaarheden te voorkomen.

  • Tenzij er zwaarwegende redenen bestaan om aan te nemen dat de onderzoeker die een kwetsbaarheid geïdentificeerd heeft niet-proportioneel gehandeld heeft, moet het Openbaar Ministerie zich onthouden van strafrechtelijk onderzoek en vervolging. Omdat het Openbaar Ministerie de vrijheid heeft om op eigen inititiatief een straf­rechtelijk onderzoek te beginnen is het belangrijk dat het ministerie van Veiligheid en Justitie het Openbaar Ministerie dwingt een beleidsregel te formuleren waarin bovenstaand beginsel is uitgewerkt.
  • Indien een gemelde kwetsbaarheid tot (potentieel) gevolg had dat persoons­gegevens voor onbevoegden toegankelijk waren, moet de beheerder van het systeem de betrokkenen daarover informeren. Daarmee bestaat er een relatie tussen de leidraad en een meldplicht datalekken.
  • Een soortgelijke parallel is ook te leggen met andere (voorgestelde) meldplichten, zoals die voor vitale infrastructuur.
  • Indien de kwetsbaarheid verwijtbaar is dient de beheerder te worden vervolgd. Als bijvoorbeeld persoonsgegevens voor onbevoegden toegankelijk waren omdat de kwetsbaarheid zich voordeed als gevolg van een beveiliging die “niet passend”2 was, dient de verantwoordelijke te worden beboet.

  1. Deze rol is soms verdeeld over meerdere individuen: degene die de kwetsbaarheid gevonden heeft hoeft niet persé ook diegene te zijn die de melding ervan doet. 

  2. Vgl. artikel 13 Wet bescherming persoonsgegevens 

Rejo Zenger

Rejo Zenger doet al vele jaren onderzoek naar inbreuken op fundamentele grondrechten. Eerder publiceerde bij over het gebruik van drones door de politie, kentekenparkeren en het gebruik van gegevens over het communicatiegedrag van burgers door de overheid. Hij werkt bij digitale burgerrechtenbeweging Bits of Freedom.

Gepubliceerd

Geupdate