18 december 2014

Ethische hackers deden in 2014 meer bruikbare meldingen

CYBERSECURITY

In 2014 zijn 120 bruikbare meldingen binnengekomen bij het meldpunt responsible disclosure van telecombedrijven. In 2013 waren dat er 77. Die meldingen hebben bijgedragen aan het bijtijds verhelpen van een kwetsbaarheid. Twee jaar geleden zijn zes telecomaanbieders een meldpunt responsible disclosure gestart. Responsible disclosure is het op verantwoorde wijze melden door bijvoorbeeld ethische hackers van mogelijke beveiligingsproblemen en kwetsbaarheden in ICT-systemen. In totaal zijn 394 meldingen binnengekomen, tegenover 366 in 2013. Meer dan tweederde van de meldingen bleek na verder onderzoek loos alarm te zijn. Het meldpunt bij telecomaanbieders komt voort uit de gedragscode responsible disclosure.

Meldpunt responsible disclosure bewijst nut

De 120 bruikbare meldingen hadden in meerdere gevallen betrekking op een en dezelfde kwetsbaarheid. De telecomsector is erg positief over de wijze waarop ethische hackers de meldpunten weten te vinden. De meldpunten hebben hun waarde inmiddels bewezen. Lotte de Bruijn, directeur Nederland ICT: “Ethische hackers leveren een waardevolle bijdrage aan de beveiliging van ICT-systemen in de telecomsector. Het is dan ook goed om te zien dat hackers de meldpunten beter weten te vinden en vaker gebruiken voor een melding.”

Eerder dit jaar heeft de telecomsector tijdens de One Conference van het Nationaal Cyber Security Centrum haar ervaringen met responsible disclosure en de samenwerking met ethische hackers gedeeld met de ICT-community.

Wat is responsible disclosure?

Sinds oktober 2012 hebben de bedrijven KPN, T-Mobile, Tele2, UPC, Vodafone en Ziggo een beleid voor het melden van kwetsbaarheden door ethische hackers. Zij hebben hiervoor op 1 november 2013 een gedragscode ondertekend. Hierin zijn de afspraken over het meldpunt responsible disclosure en de spelregels voor het melden nu formeel vastgelegd.

Responsible disclosure is het op verantwoorde wijze melden van mogelijke beveiligingsproblemen en kwetsbaarheden in ICT-systemen. Telecomaanbieders hebben op hun eigen website een meldpunt waar gebruikers en ethische hackers, eventueel anoniem, hiervan melding kunnen maken. Afgesproken is dat aanbieders helder aangeven wat de voorwaarden zijn voor een ‘responsible disclosure’-melding. Zo wordt er nadrukkelijk gevraagd om de kwetsbaarheid niet met anderen te delen. Op deze manier kunnen aanbieders een eventueel probleem eerst oplossen. Vanzelfsprekend geldt de strikte voorwaarde dat de melder geen misbruik maakt van de mogelijke zwakke plek. Als melders zich aan de spelregels houden, zal de aanbieder geen aangifte doen van cybercriminaliteit.