Fouten en kwetsbaarheden zijn vrijwel onvermijdelijk bij het ontwikkelen van een complex IT-systeem, software of hardware. Deze fouten worden vaak niet door werknemers en technische experts van het bedrijf dat de software of hardware produceert gevonden, maar door externe onderzoekers. Het elimineren van zulke fouten en potentiële kwetsbaarheden is essentieel voor sterke cybersecurity, waar onze onderzoekers en experts ook in werken. De belangrijkste bron van fouten en mislukkingen — mensen — vormt dus ook een belangrijke factor voor tijdige detectie en correctie ervan. Tegelijkertijd is het belangrijk om te beseffen dat dit proces van foutcorrecties mogelijk nieuwe risico’s en fouten kan creëren in plaats van het probleem op te lossen.
Bij Kaspersky houden we vast aan een reeks duidelijke en transparante ethische principes voor verantwoordelijke bekendmaking van kwetsbaarheden (Responsible Vulnerability Disclosure of RVD) — het proces dat we volgen als we kwetsbaarheden vinden in de systemen van andere organisaties. We baseren onze vijf principes op meer dan 23 jaar aan globaal werk en laten ons hier altijd bij inspireren door een aantal beste praktijken, en in het bijzonder de ethische code van het Forum of Incident Response and Security Teams (FIRST). Bij elk geval geven we de veiligheid van onze gebruikers de hoogste prioriteit (de mensen en organisaties die Kaspersky-producten en -oplossingen gebruiken).
Tegelijkertijd respecteren we de belangen van alle betrokken partijen: de individuen of organisaties waarvan het product kwetsbaarheden bevat, hun klanten (als mogelijke slachtoffers) en de cybersecurity-industrie in zijn geheel.
Het volgen van deze principes garandeert dat we op een transparante, verantwoordelijke en consistente manier te werk gaan bij het bouwen van een veiliger ecosysteem voor informatie- en communicatietechnologie (ICT). Om ervoor te zorgen dat zo’n aanpak over de gehele IT-industrie ook echt werkt, moeten andere vendors (en hun gebruikers, onafhankelijke onderzoekers, regelgevers en andere belanghebbende partijen) echter ook vergelijkbare motieven als richtlijnen gebruiken. Daarom hebben we besloten om over te gaan tot de publicatie van onze principes voor verantwoordelijke bekendmaking van kwetsbaarheden die in de software van andere bedrijven is gevonden. Wij bevinden ons in de voorhoede.
Principe #1: Bouw vertrouwen op
Een zekere mate van vertrouwen is de basis van informatiebeveiliging. Het openbaar maken van kwetsbaarheden zonder vertrouwen werkt simpelweg niet, dus we gaan uit van welwillendheid als motief van alle partijen, hoewel we natuurlijk wel de tijd en moeite nemen om acties te coördineren en eventuele schade van de kwetsbaarheid te beperken — vertrouw, maar verifieer. We publiceren geen informatie over kwetsbaarheden voor ons plezier of uit ambitie, maar alleen voor de belangen en veiligheid van gebruikers en de maatschappij.
Principe #2: Informeer allereerst de getroffen partij
Het bekendmaken van kwetsbaarheden is een complex proces waarbij sprake kan zijn van verschillende obstakels, zoals bijvoorbeeld niet-reagerende of onbereikbare partijen. Ondanks zulke problemen is het tijdig verstrekken van exacte informatie aan de getroffen vendors essentieel. Ten eerste doen we een gezamenlijke inspanning om de kwetsbaarheid te elimineren en het gebruikersrisico te minimaliseren. Om dat te kunnen doen moet de vendor een duidelijke en transparante manier vinden om informatie over de kwetsbaarheden te melden en verwerken (u vindt hier en hier meer informatie over hoe dit in zijn werk gaat).
Principe #3: Coördineer inspanningen
Het moge duidelijk zijn dat elke kwetsbaarheid uniek is. Sommige vormen een dreiging voor de gebruikers van een enkel product, en andere kunnen meerdere partijen treffen (bijvoorbeeld in gevallen waarbij internationale bedrijven met complexe toeleveringsketens zijn betrokken). Kwetsbaarheden kunnen ook kritieke infrastructuur en netwerken in de publieke sector treffen en dus de nationale veiligheid in het geding brengen. Tegelijkertijd zijn onderzoekers en vendors niet de enige relevante partijen; regelgevers, klanten, onafhankelijke onderzoekers en ethische hackers kunnen ook betrokken zijn. Voor effectieve coördinatie tussen alle belanghebbenden, laten we ons leiden door internationale beste praktijken (bijvoorbeeld de ISO/IEC 29147:2018-standaard voor de bekendmaking van kwetsbaarheden). We proberen in het bijzonder alle betrokkenen voldoende tijd te bieden voor een grondige analyse van de kwetsbaarheid en herstelontwikkeling.
Principe #4: Bewaar vertrouwelijkheid indien nodig
Als technische informatie over een kwetsbaarheid te vroeg in het proces wordt bekendgemaakt, kunnen de aanvallers hier juist hun voordeel mee doen. Daarom delen we de informatie op een vertrouwelijke manier met partijen die beperkende maatregelen moeten ontwikkelen en vervolgens werken we via de meest vertrouwde en veiligste communicatiekanalen voor de meldingen. Om diezelfde reden onderhandelen we met de vendor over de voorwaarden van de bekendmaking. Maar als een vendor niet wil reageren, hangt het af van de ernst en schaal van de kwetsbaarheid en de urgentie van het risico of wij besluiten om de bekendmaking via onze eigen communicatiekanalen te doen en het probleem te openbaren in overeenstemming met onze interne richtlijnen, plaatselijke regelgeving en beste praktijken in de industrie. De vendor wordt gedurende dit hele proces op de hoogte gehouden.
Principe #5: Moedig gewenst gedrag aan
Ondanks inspanningen van de industrie blijven cybercriminelen naar kwetsbaarheiden zoeken. En die vinden ze ook. Daarom vinden wij het belangrijk om openlijk iedereen te steunen die op verantwoordelijke wijze kwetsbaarheden meldt en de beste praktijken in de industrie volgt voor verantwoordelijke bekendmaking.
Bescherm bekendmaking van kwetsbaarheden
Ik ben ervan overtuigd dat als alle partijen zich aan dezelfde ethische principes houden, dat we in staat zijn om samen het ICT-ecosyteem niet alleen veiliger maar ook gezonder en voorspelbaarder voor gebruikers te maken, en dat zijn uiteindelijk de mensen waar we voor werken.
U kunt meer lezen over onze ethische principes voor RVD op de Global Information Transparency Initiative-pagina.