Veel Nederlandse organisaties worstelen met hun cyberveiligheid. Een manier om te controleren hoe veilig systemen zijn, is gebruik maken van ethische hackers. De leidraad die daarvoor de spelregels bevat, is onlangs geüpdatet. Cyberveilig Nederland maakte een stappenplan voor organisaties die met deze Coordinated Vulnerability Disclosure aan de slag willen.
“De Coordinated Vulnerability Disclosure is de geupdate versie van wat voorheen de ‘responsible disclosure’ werd genoemd”, legt Petra Oldengarm, directeur van branchevereniging Cyberveilig Nederland, uit. “Het is een set van spelregels voor organisaties en hackers. Organisaties kunnen hun beleid op hun website zetten, zodat helpende hackers weten dat ze de systemen van dat bedrijf op kwetsbaarheden mogen toetsen.”
Volwassenheid beveiliging
Cyberveilig Nederland merkte dat veel organisaties de interne processen die noodzakelijk zijn voor deze leidraad, niet goed ingericht hadden. “Daarom hebben we nu een stappenplan ontwikkeld. Om organisaties te helpen die met deze Coordinated Vulnerability Disclosure aan de slag willen.” Door een aantal processen in te richten om een melding van een hacker goed te kunnen afhandelen, komt de volwassenheid van de beveiliging van een bedrijf op een hoger niveau.
Processen optimaliseren
Oldengarm: “We zagen bijvoorbeeld dat organisaties de tekst van de Coordinated Vulnerability Disclosure in het Engels op hun website zetten. Met het stappenplan willen we hen helpen realiseren dat ze daarmee ook direct internationale ethische hackers aantrekken. Zeker wanneer de interne processen nog niet geoptimaliseerd zijn, adviseren wij om de tekst eerst in het Nederlands te plaatsen. Dan kan een bedrijf eerst in de eigen taal ervaring op doen en processen optimaliseren. Zodra dat goed werkt, kan er alsnog uitgebreid worden naar internationale hackers.”
Weten waar de kwetsbaarheden zitten
Het stappenplan voor de implementatie van de Coordinated Vulnerability Disclosure is voor iedere organisatie gratis te downloaden. Hoewel bedrijven met een information security officer vaak al meer bewustzijn op het gebied van cybersecurity hebben, en het stappenplan zich primair richt op bedrijven die niet zo’n officer aangesteld hebben, is het document volgens Oldengarm heel breed bruikbaar. “Als organisatie is het goed om te weten waar je kwetsbaarheden zitten, en dat kun je maar beter laten aantonen door iemand die je vooral wil helpen, dan door een hacker die niets goeds in zin heeft. Helpende hackers kunnen eraan bijdragen om de beveiliging van een bedrijf te verbeteren. Ik adviseer organisaties dan ook om de mogelijkheden die je hebt, te omarmen, zelfs als dat op het eerste gezicht lastig is.”