Telecombedrijven gaan door met meldpunt responsible disclosure

Een jaar geleden zijn zes telecomaanbieders een meldpunt responsible disclosure gestart. Responsible disclosure is het op verantwoorde wijze melden van mogelijke beveiligingsproblemen en kwetsbaarheden in ICT-systemen. De telecomaanbieders zijn positief over de resultaten van dit meldpunt en zetten dit verder voort. Van de ongeveer 380 meldingen die in een jaar werden gedaan, hebben ongeveer 75 bijgedragen aan het op tijd verhelpen van een kwetsbaarheid. De overige meldingen bleken na verder onderzoek geen kwetsbaarheid te zijn. De afspraken die over het meldpunt zijn gemaakt, zijn nu ook vastgelegd in een gedragscode responsible disclosure. Nederland ICT nodigt andere aanbieders uit om ook de gedragscode te onderschrijven.

Evaluatie van het meldpunt responsible disclosure
De betrokken telecombedrijven zijn positief over de ervaringen met responsible disclosure. Bij de deelnemende bedrijven zijn in een jaar tijd ongeveer 75 meldingen gedaan die hebben bijgedragen aan het op tijd verhelpen van een kwetsbaarheid (voor één kwetsbaarheid kwamen vaak meerdere meldingen binnen). In totaal zijn ongeveer 380 meldingen ontvangen waarvan een groot deel na verder onderzoek geen kwetsbaarheid bleek te zijn. De ervaringen die de sector heeft opgedaan, bespreekt zij met ethische hackers om verder van elkaar te leren.

Gedragscode responsible disclosure
Telecombedrijven hebben de afspraken over het meldpunt responsible disclosure en de spelregels voor het melden nu ook formeel vastgelegd in een gedragscode responsible disclosure. De bedrijven KPN, T-Mobile, Tele2, UPC, Vodafone en Ziggo hebben deze gedragscode op 1 november 2013 ondertekend. Nederland ICT nodigt andere aanbieders uit om de gedragscode ook te onderschrijven en een meldpunt op hun site in te richten.

Wat is responsible disclosure?
Responsible disclosure is het op verantwoorde wijze melden van mogelijke beveiligingsproblemen en kwetsbaarheden in ICT-systemen. Telecomaanbieders hebben op hun eigen website een meldpunt waar gebruikers en ethische hackers, eventueel anoniem, hiervan melding kunnen maken. Afgesproken is dat aanbieders helder aangeven wat de voorwaarden zijn voor een ‘responsible disclosure’-melding. Zo wordt er nadrukkelijk gevraagd om de kwetsbaarheid niet met anderen te delen. Op deze manier kunnen aanbieders een eventueel probleem eerst oplossen. Vanzelfsprekend geldt de strikte voorwaarde dat de melder geen misbruik maakt van de mogelijke zwakke plek. Als melders zich aan de spelregels houden, zal de aanbieder geen aangifte doen van cybercriminaliteit.

Links naar meldpunten aanbieders:

KPN
T-Mobile (hoofdstuk 10)
Tele2
UPC
Vodafone
Ziggo