Coordinated Vulnerability Disclosure: de Leidraad

Doel van deze leidraad is het bieden van bouwstenen voor organisaties om een beleid voor Responsible Disclosure (RD) vast te kunnen stellen. Dit beleid geeft de ‘ethische hacker' duidelijkheid hoe door de desbetreffende organisatie zal worden omgegaan met door die hacker aangetoonde en/of gemelde kwetsbaarheden in de ICT-systemen. Het biedt de getroffen bedrijven de mogelijkheid om kwetsbaarheden te verhelpen en schade te beperken voordat de hacker met zijn daad naar buiten treedt.

Het RD is geen ‘gegeven' of ‘beleid' waar eenieder zich zondermeer op kan beroepen. Evenmin is de RD uniform. Er is sprake van RD, wanneer het gehackte bedrijf ook een RD-beleid heeft. Wanneer daar geen sprake van is, is er ook geen sprake van RD. Dikwijls is nader (strafrechtelijk) onderzoek nodig om na te gaan of een melding die is gedaan door een hacker, onder de gegeven omstandigheden noodzakelijk en proportioneel was.

Als een hacker direct en veilig communiceert met de eigenaar van het ICT-systeem over een aangetroffen lek in de beveiliging en er geen gegevens zijn verwijderd of gemanipuleerd, kan er sprake zijn van RD en is er geen aanleiding om (verder) strafrechtelijk onderzoek of vervolging in te stellen. Er is echter geen sprake van RD daar waar wel gegevens zijn verwijderd, gemanipuleerd of gekopieerd, dan wel op onevenredige wijze toegang is verschaft tot het ICT-systeem.

Oktober 2018