Wat is responsible disclosure?

De meeste grote organisatie en overheden werken tegenwoordig met zogenoemde Coordinated Vulnerability Disclosure (CVD), voorheen responsible disclosure genoemd.

Antwoord:

print

  • Responsible disclosure

    Coordinated Vulnerability Disclosure (CVD) of responsible disclosure is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden.

    Beleid voor CVD
    Voorop staat dat partijen zich over en weer houden aan de gemaakte afspraken over het melden van ICT-kwetsbaarheden. Een organisatie die beleid voor responsible disclosure opstelt, kan zich bijvoorbeeld binden aan het principe dat ze geen aangifte doet als aan de organisatie en de melder voldoen aan de volgens het beleid geldende spelregels.

    Doel van CVD
    Het doel is het verhogen van de veiligheid van ICT-systemen door kennis over ICT-kwetsbaarheden te delen. Eigenaren van ICT-systemen kunnen kwetsbaarheden dan verhelpen, voordat deze actief misbruikt zullen worden door derden. Hierdoor kan de schade zoveel mogelijk worden voorkomen of beperkt. Hierbij dient dan voldoende tijd voor herstel beschikbaar te zijn alvorens tot openbaarmaking wordt overgegaan.

    Bron: Leidraad voor responsible disclosure* (NCSC)