Zo zetten wij de hulp van anderen in, voor nog veiligere software

Begin dit jaar hebben we een ‘Responsible Disclosure-beleid’ gelanceerd. Hiermee zorgen we er voor dat anderen ons helpen om eventuele kwetsbaarheden in onze software op te sporen. In dit artikel leg ik uit hoe dat in zijn werk gaat.

Je staat er misschien niet bij stil, maar het is nog steeds bijzonder om bijna overal ter wereld bij al je informatie te kunnen. Maar als jij en ik dit kunnen, dan bestaat er een kans dat ook mensen met minder goede bedoelingen er bij kunnen. Het is dus zaak om alles goed te beveiligen. Dat probeert elk bedrijf natuurlijk zo goed mogelijk te doen. Zo ook bij Decos. Maar het is onmogelijk om alles te controleren en bij te houden.

Blog responsible disclosure 1


De reden voor een responsible disclosure beleid

Als een persoon (melder) die niet bij onze organisatie hoort, onverhoopt toch een kwetsbaarheid vindt, dan is het wel zo fijn om de informatie over deze kwetsbaarheid ergens kwijt te kunnen. Maar het maken van een melding is vaak ingewikkelder dan je zou denken. Want naast het hebben van een ‘loket’ kan ook het volgende gebeuren; als de melder op een vertrouwelijk systeem is binnen gekomen kan het bedrijf dit onterecht als inbreuk bestempelen en de melder, ondanks alle goede bedoelingen, juridisch vervolgen.

Dit is dan ook een veel gehoorde klacht in de community van ethisch hackers. Zij willen de kwetsbaarheid melden, maar wel op een voor beide partijen veilige manier. Een responsible disclosure beleid zorgt er voor dat melders a) een toegankelijke mogelijkheid hebben om hun melding te doen en b) zeker weten dat zij geen juridische problemen krijgen.

Door als bedrijf samen te werken met de melder, kan het bedrijf de gevonden kwetsbaarheid verhelpen alvorens deze, in overleg, publiekelijk bekend wordt gemaakt.

Blog responsible disclosure 2


Stopt Decos dan met het uitvoeren van eigen beveiligingstests?

Zeker niet. We blijven de beveiliging onze eigen software uitgebreid testen middels interne en externe pentests. Het beleid is immers alleen bedoeld om een plek te bieden waar melder gevonden kwetsbaarheden kunnen melden. Het uitvoeren van pentests is een vast onderdeel van ons security beleid. Het hebben van een responsible disclosure beleid is dan ook aanvullend en niet vervangend.

Heeft Decos al meldingen gehad via het beleid en wat zijn de ervaringen?
Jazeker. In het begin was dit zeker even wennen. Tot nu toe is 99% van de meldingen gedaan door personen van buiten onze landgrenzen. Een groot gedeelte hiervan is alleen op zoek naar de beloning die wij ter beschikking stellen als iemand een grotere kwetsbaarheid vindt. Maar voor een aantal is zowel de beloning belangrijk als het daadwerkelijk verhelpen van de kwetsbaarheid. Het is dan ook leuk om als bedrijf samen aan een oplossing te werken.

Maar waar vind ik dit beleid dan?

Je vindt ons security disclosure-beleid op onze security-pagina. Als je nog vragen hebt over ons beleid of een kwetsbaarheid wilt melden dan ben ik te bereiken via security@decos.com.