Samen voor een veilig internet
Het manifest werd ondertekend door circa 30 organisaties tijdens de High Level Meeting Cyber Security in Amsterdam, een bijeenkomst die was belegd in het kader van het Nederlandse EU-voorzitterschap. De ondertekenaars zijn onder meer grote organisatie in zorg, transport, energie en financiën. Meedoen aan de plannen wordt aangemoedigd. Meer informatie is hier te vinden.
Kwetsbaarheden eenvoudig melden
Met het ondertekenen van het manifest onderschrijft SURF het belang van de inspanningen van onderzoekers en de hackergemeenschap om het internet en de samenleving veiliger te maken. Ze bieden derden de mogelijkheid om gesignaleerde kwetsbaarheden eenvoudig te melden.
Responsible disclosure is het verantwoord en in gezamenlijkheid tussen melder en organisatie openbaar maken van kwetsbaarheden, op basis van beleid dat die organisaties hiervoor hebben vastgesteld. De internationaal gebruikte term is ‘coordinated vulnerability disclosure’. Het manifest is een initiatief van de Rabobank en het CIO Platform Nederland. Er is gebruikgemaakt van de responsibledisclosuremodellen die SURF samen met zijn leden ontwikkelde.
Doordat ICT een steeds belangrijkere rol speelt in het dagelijks leven, is de afhankelijkheid van internet en ICT ook steeds groter geworden. Daarmee nemen de mogelijk negatieve gevolgen van kwetsbaarheden in ICT-systemen ook toe. Samenwerking tussen organisaties en de cybersecuritygemeenschap kan helpen bij het vinden en oplossen van die kwetsbaarheden. Doel van het manifest is dan ook om partijen zich daarvan bewuster te maken, zodat de beveiliging van informatiesystemen op het juiste niveau blijft.
Nooit 100% veilig
Erwin Bleumink, lid van de directieraad van SURF: “Het liefst voorkom je natuurlijk fouten in je applicaties en infrastructuur. Maar omdat dat nooit 100 procent mogelijk is, nodigen wij iedereen uit de infrastructuur en systemen voor onze gebruikers nog veiliger te maken. Daarom hebben wij voor onze sector een eenvoudig toe te passen beleidsnotitie responsible disclosure opgesteld.”
Bleumink vervolgt: “We gebruiken dat beleid zelf ook, en onze ervaringen zijn zeer positief. De melders voelen zich gewaardeerd en wij zijn heel blij dat we in een vroeg stadium problemen gemeld krijgen, zodat we die kunnen repareren. Het is goed om te zien dat het CIO Platform ons beleid heeft opgepakt en geschikt gemaakt voor gebruik door bedrijven. Zo draagt SURF bij aan een veilig internet voor iedereen.”
SURF is in Nederland niet de enige organisatie die zich committeert aan de plannen. Ook grote bedrijven zien de voordelen, zo doet ook de Rabobank mee. “Klanten willen hun bankzaken veilig, snel en gemakkelijk kunnen regelen. Betrouwbaarheid en veiligheid van onze systemen zijn van fundamenteel belang om het vertrouwen van onze klanten te behouden. Met dit manifest bieden we securityonderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, we behandelen meldingen altijd serieus. Wel gelden er voor de ontvangende partij én de melder een paar spelregels,” zeg Chief Information Security Officer Wim Hafkamp.
