Leidraad voor verantwoorde openbaarmaking van ICT-kwetsbaarheden
Personen die een ICT kwetsbaarheid melden hebben een belangrijke maatschappelijke verantwoordelijkheid, maar moeten daar wel op een verantwoorde wijze vorm aan geven. Dat betekent dat zij geen onnodige schade moeten aanrichten in de informatiesystemen van organisaties, niet verdergaan dan noodzakelijk om de kwetsbaarheid aan te tonen en wachten met openbaarmaking totdat de organisatie het probleem heeft verholpen. Anderzijds blijven organisaties zelf primair verantwoordelijk voor de beveiliging van hun informatiesystemen en (software)produkten, maar moet er wel snel en efficiënt worden gereageerd op meldingen om kwetsbaarheden te verhelpen en dienen er afspraken worden gemaakt over eventuele openbaarmaking en het informeren van andere partijen.
Dat zijn enkele uitgangspunten bij de zogenoemde ‘leidraad voor responsible disclosure’ die minister Opstelten van Veiligheid en Justitie vandaag naar de Tweede Kamer heeft gestuurd. Dit kader is bedoeld als een handreiking om het mogelijk te maken dat kwetsbaarheden in ICT-systemen en producten op een verantwoorde manier worden gemeld en afgehandeld. Met de handreiking kunnen organisaties een eigen beleid op het gebied van responsible disclosure opstellen. Minister Opstelten kondigt in de Kamerbrief ook aan dat hij de toepassing van het kader binnen de rijksoverheid zal bevorderen.
Responsible disclosure heeft daarmee betrekking op het handelen van zowel de melder als de organisatie. Concreet betekent dit dat een organisatie publiekelijk het beleid voor responsible disclosure uitdraagt. De organisatie en melder maken daarnaast afspraken over de termijn waarop de kwetsbaarheid verholpen zal zijn, de wijze waarop zij met elkaar zullen communiceren en over eventuele openbaarmaking en het verder inlichten van de ICT-security-community. Zo kunnen ook anderen lering kunnen trekken uit de kwetsbaarheid waar het om gaat. Als een organisatie eenmaal beleid heeft op dit gebied moet ook duidelijk zijn hoe zij met aangiftes omgaat en dat er geen aangifte wordt gedaan als de melder volgens afspraken heeft gehandeld. De zelfstandige bevoegdheid van het Openbaar Ministerie om eventueel tot vervolging over te gaan wanneer het vermoeden bestaat dat er strafbare feiten zijn gepleegd, blijft bestaan.
Aan het opstellen van dit kader heeft het ministerie van Veiligheid en Justitie samengewerkt met melders, publieke en private organisaties. Er is immers binnen de ICT-security gemeenschap veel kennis voorhanden over kwetsbaarheden en de wijze waarop deze verholpen kunnen worden. Daarnaast bestaat ook de wil om kennis te delen en bij te dragen aan een veilige en vitale digitale samenleving. Het bevorderen van nauwere samenwerking en het totstandbrengen van nieuwe coalities tussen publieke en private partijen met de ICT-security gemeenschap is daarom van groot belang. Daar waar dat nodig is vervult het Nationaal Cyber Security Centrum (NCSC) de rol om partijen bij elkaar te brengen en informatie over kwetsbaarheden met te delen zodat ook andere partijen maatregelen kunnen nemen.