Het belang van een Responsible Disclosure- melding

Het kan zijn dat een beveiligingsonderzoeker, ethisch hacker, of andere gebruiker merkt dat hij toegang kan krijgen tot informatie, systemen of applicaties van een organisatie, waar hij eigenlijk geen toegang toe zou mogen hebben. Het kan ook zijn dat iemand “per ongeluk” iets tegenkomt wat eigenlijk niet voor hem bedoeldis.

Iemand doet hier niet altijd een melding van. De beste manier om te stimuleren dat er een Coordinated Vulnerability Disclosure melding wordt gedaan is om een Responsible Discloser beleid op te stellen. Hierin kan worden aangegeven hoe er met de melding om wordt gegaan en wat eventuele beloftes zijn.

Zorg voor een responsible disclosure pagina

Een opsomming van de regels en beloftes van het responisble disclosure beleid kun je op een webpagina zetten.

Een regel kan bijvoorbeeld zijn dat de onderzoeker de kwetsbaarheid meldt bij de betreffende organisatie en er geen misbruik van maakt of deelt met de buiten wereld. Een belofte kan zijn dat je als organisatie geen juridische stappen gaat ondernemen en mogelijk zelfs een beloning biedt (formeel maken deze hackers zich schuldig aan strafbare feiten als computervredebreuk of het wederrechtelijk kopiëren van gegevens).

Zorg ervoor dat de melding ook daadwerkelijk kan worden gemaakt door bijvoorbeeld een e-mailadres te vermelden of een biedt een contactformulier aan.