Wat is responsible disclosure?

De meeste grote organisatie en overheden werken tegenwoordig met zogenoemde Coordinated Vulnerability Disclosure (CVD), voorheen responsible disclosure genoemd.

Antwoord:

print

  • Responsible disclosure

    Coordinated Vulnerability Disclosure (CVD) of responsible disclosure is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden. Iedereen kan een responsible disclosure-melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.

    Beleid voor CVD
    Voorop staat dat partijen zich over en weer houden aan de gemaakte afspraken over het melden van ICT-kwetsbaarheden. Een organisatie die beleid voor responsible disclosure opstelt, kan zich bijvoorbeeld binden aan het principe dat ze geen aangifte doet als aan de organisatie en de melder voldoen aan de volgens het beleid geldende spelregels.

    Doel van CVD
    Het doel is het verhogen van de veiligheid van ICT-systemen door kennis over ICT-kwetsbaarheden te delen. Eigenaren van ICT-systemen kunnen kwetsbaarheden dan verhelpen, voordat deze actief misbruikt zullen worden door derden. Hierdoor kan de schade zoveel mogelijk worden voorkomen of beperkt. Hierbij dient dan voldoende tijd voor herstel beschikbaar te zijn alvorens tot openbaarmaking wordt overgegaan.

    Lees ook de informatie op de websites van het Openbaar Ministerie* en het National Cyber Security Centrum* over Coordinated Vulnerability Disclosure (CVD) of Responsible Disclosure (RD).