ENISA: ‘Responsible disclosure moet internationaal worden geregeld’

  1. 19 jan 2016
  2. 0 reacties

Responsible disclosure moet op internationaal niveau worden geregeld om ethische hackers meer zekerheid te bieden. Ook zou een neutrale onafhankelijke partij moeten worden aangesteld of moeten huidige coördinatiecentra worden verbeterd om het veilig melden van kwetsbaarheden in software en IT-systemen in goede banen te leiden.

hacker3 Dit zijn twee van de aanbevelingen die European Union Agency for Network and Information Security (ENISA) doet in het rapport 'Good Practice Guide on Vulnerability Disclosure'. Het agentschap beschrijft in het rapport het responsible disclosure landschap van vandaag de dag en zet uiteen tegen welke uitdagingen ethische hackers aanlopen bij het op verantwoorde wijze melden van kwetsbaarheden. Het gaat hierbij onder andere op juridische implicaties, een gebrek aan bewustzijn bij aandeelhouders over het werk dat ethische hackers doen en verschillende niveau’s van volwassenheid in de wijze waarop leveranciers en onderzoekers omspringen met responsible disclosure.

Aanbevelingen

ENISA doet een aantal aanbevelingen in het rapport om responsible disclosure te stimuleren en de mogelijkheden hiervoor te verbeteren. Het gaat onder andere om de volgende aanbevelingen:

  • De regelgeving rond responsible disclosure moet internationaal worden geregeld.
  • Een neutrale derde partij moet worden geïntroduceerd of bestaande coördinatiecentra moeten worden verbeterd om responsible disclosure in goede banen te leiden.
  • Europese regelgevers en EU-lidstaten moeten hun juridisch raamwerk rond responsible disclosure verbeteren.
  • Leveranciers zouden moeten inzetten op transparantie, openheid en het opbouwen van vertrouwen.

In het rapport stelt ENISA daarnaast een template beschikbaar die bedrijven helpt een responsible disclosure beleid op te stellen en te implementeren.