Gert Lambers - 20 Mar 2023

Het Centrum voor Cybersecurity België (CCB) ontvouwde in februari 2023 een nieuw beleid voor de gecoördineerde bekendmaking van kwetsbaarheden. Het biedt een juridisch kader aan mensen met goede bedoelingen om kwetsbaarheden te melden. Wie voortaan een kwestbaarheid ontdekt, weet dus precies wat te doen. En dat is natuurlijk ook goed nieuws voor de organisaties waarin de kwestbaarheden worden aangetroffen.

Het CCB definieert een kwetsbaarheid als "een zwakheid, vatbaarheid of gebrek van een netwerk- en informatiesysteem die of dat kan worden uitgebuit door een cyberdreiging". Zo biedt het beleid een framework aan bijvoorbeeld ethische hackers om kwetsbaarheden te melden, maar evengoed aan ICT-professionals die tijdens de uitoefening van hun job op kwetsbaarheden stuiten. En zo weet u als onderneming meteen ook wat u mag verwachten als iemand op een kwetsbaarheid in uw netwerk- of informatiesysteem stuit.

Volgens het beleid moet een persoon of organisatie die een kwetsbaarheid ontdekt in een systeem, proces of controle van een andere organisatie dit zo snel mogelijk melden aan de verantwoordelijke organisatie en samenwerken om deze te verhelpen. Het doel is om de veiligheid en privacy van de gebruikers te verbeteren.

Het beleid voor gecoördineerde bekendmaking van kwetsbaarheden geldt voor alle systemen, processen en controles die onder de bevoegdheid van het CCB vallen of die door het CCB worden beheerd. Voor zowel de deelnemer (die de kwetsbaarheid ontdekt) als de verantwoordelijke organisatie (de eigenaar van het systeem, het proces of de controle) worden de rechten en plichten helder omschreven.

security

Wat als u een kwetsbaarheid ontdekt?

Stoot u op kwetsbaarheden? Doe niet alsof uw neus bloedt! Dit zegt het nieuwe beleid:

  • U bent verplicht om de kwetsbaarheid zo snel mogelijk te melden via het online formulier op de website van het CCB of via e-mail naar vulnerability@cert.be. Verder dient u zoveel mogelijk informatie te verstrekken over de kwetsbaarheid, zoals de naam en versie van het product of systeem, de beschrijving en impact van de kwetsbaarheid, de stappen om deze te reproduceren en eventuele bewijzen of screenshots.
  • U bent verplicht om de verantwoordelijke eigenaar van het product of systeem op de hoogte te brengen van de kwetsbaarheid en samen te werken om deze te verhelpen. Daarbij moet u rekening houden met de principes van gecoördineerde bekendmaking, zoals vertrouwelijkheid, goeder trouw en proportionaliteit.
  • Hou bewijzen van de ondernomen acties (logging) over het product of systeem in kwestie bij en deel ze met het CCB. Zo kan u later aantonen dat u de kwetsbaarheid zo snel mogelijk hebt gemeld en dat u er geen misbruik van hebt gemaakt.
  • Het CCB zal uw melding bevestigen en u op de hoogte houden van het verdere verloop. Het CCB zal ook contact opnemen met de verantwoordelijke eigenaar om te helpen bij het vinden en implementeren van een oplossing. Bovendien zal het CCB advies geven om de veiligheid en privacy van de gebruikers te verbeteren.
  • De openbare bekendmaking van de kwetsbaarheid kan alleen gebeuren na overleg met en toestemming van de verantwoordelijke eigenaar. Het CCB zal u informeren over wanneer en hoe de kwetsbaarheid openbaar gemaakt wordt.

Dit wettelijk kader was nodig om meldingen van onder meer ethische hackers te stroomlijnen. Dankzij meer tests en controles van systemen bij organisaties zal de cyberveiligheid ook in uw organisatie enkel maar toenemen!

Contacteer ons