'Inzet van ethische hackers kan digitale veiligheid bedrijven vergroten'

De maatregelen die Nederlandse bedrijven nemen om zich te beschermen tegen cybercrime zijn ontoereikend. Het inzetten van ethische hackers kan volgens branchevereniging Cyberveilig Nederland een belangrijke oplossing zijn om het bedrijfsleven beter te wapenen tegen de risico’s en informatiebeveiliging te verbeteren. Met een stappenplan helpt de brancheorganisatie bedrijven daarom zogenaamde ‘Coordinated Vulnerability Disclosure’ te implementeren.

Het Nationaal Cyber Security Centrum (NCSC) bracht onlangs een nieuwe ‘Leidraad Coordinated Vulnerability Disclosure’ uit. Het doel van Coordinated Vulnerability Disclosure (CVD) is om samen te werken met ethische hackers waarmee zij een bijdrage leveren aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden te delen. De leidraad beschrijft onder andere spelregels waaraan hackers zich dienen te houden als zij kwetsbaarheden willen onderzoeken bij organisaties. De leidraad is ervoor bedoeld om bedrijven te helpen een eigen CVD-beleid te ontwikkelen.

CVD-beleid implementeren

“In de praktijk merken onze leden dat veel organisaties moeite hebben met een goede implementatie van het CVD-beleid binnen hun organisatie”, zegt Petra Oldengarm, directeur van Cyberveilig Nederland. “Daarom hebben wij een stappenplan ontwikkeld dat zowel Nederlandse bedrijven als onze leden kan ondersteunen in het implementeren van dit beleid. Onderdelen van dit stappenplan zijn bijvoorbeeld het zorgen voor betrokkenheid van bestuur en management, het inrichten van een proces voor het afhandelen van een melding van een kwetsbaarheid door een hacker en het testen van het proces om er zeker van te zijn dat het goed werkt."

Het stappenplan helpt organisaties ervaring op te bouwen met CVD zodat het daadwerkelijk van toegevoegde waarde is bij het verbeteren van de eigen informatiebeveiliging. Hans de Vries, directeur van het NCSC: ”Sinds de publicatie van de eerste leidraad voor ethisch hacken in 2013, stimuleert het NCSC actief de CVD praktijk, zowel nationaal als internationaal. De honderden meldingen die het NCSC sindsdien heeft ontvangen, illustreren het vertrouwen en de samenwerking tussen de ICT-gemeenschap, overheden, het bedrijfsleven en het NCSC. Met als gemeenschappelijk doel een digitaal veilig Nederland. Ik juich het initiatief van Cyberveilig Nederland dan ook toe, hoe meer bedrijven bekend zijn met het belang van samenwerken met ethisch hackers, hoe beter.”

Geschikt voor iedere organisatie

Oldengarm voegt toe dat de “leidraad natuurlijk bedoeld is voor onze eigen leden om CVD te implementeren, maar ook breed bij ieder organisatie in Nederland toe te passen."

Het stappenplan is tot stand gekomen met input van diverse leden van Cyberveilig Nederland en Chris van ’t Hof, auteur van het boek ‘Helpende Hackers’. “De nieuwe leidraad van het NCSC legt duidelijk uit waarom organisaties open moeten staan voor meldingen van hackers, het stappenplan van CVN laat goed zien hoe je dat doet,” aldus Chris van ’t Hof.

Het stappenplan voor Coordinated Vulnerability Disclosure is hieronder te downloaden.

Cyberveilig-Nederland-Stappenplan-Coordinated-Vulnerability-Disclosure.pdf