Wat is een responsible disclosure-melding?

Als je als gebruiker of ethische hacker een beveiligingsprobleem of kwetsbaarheid in een ICT-systeem van een organisatie ontdekt, kun je dit bij de organisatie melden en deze voldoende tijd geven om de zwakke plek aan te pakken voordat je de kwetsbaarheid aan de buitenwereld bekendmaakt. Door deze CVD-melding heeft de organisatie de mogelijkheid om schade zo veel mogelijk te voorkomen of beperken en de veiligheid van ICT-systemen te verhogen.  

Veel organisaties hebben beleid opgesteld hoe om te gaan met Coordinated Vulnerability Disclosure. Er kan in staan dat de organisatie geen aangifte doet als je als melder geen misbruik van de zwakke plek maakt. Dit betekent dat je bijvoorbeeld geen malware plaatst, gegevens in een systeem kopieert, wijzigt of verwijdert of veranderingen in het systeem aanbrengt.

Lees ook de informatie op de websites van het Openbaar Ministerie* en het National Cyber Security Centrum* over Coordinated Vulnerability Disclosure (CVD) of Responsible Disclosure (RD).