De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
Responsible Disclosure komt steeds meer in zwang. Het Nationaal Cyber Security Centrum (NCSC) publiceerde een richtlijn voor overheidsinstanties welke door steeds meer Gemeenten geïmplementeerd wordt. En met succes, zo ontving de gemeente Apeldoorn in de eerste 4 maanden dat ze de regeling hanteerde zo’n 23 tips van experts over beveiliging. Naast de omarming binnen de overheid zien we dat ook steeds meer bedrijven de toegevoegde waarde van een Responsible Disclosure beleid zien en over gaan tot implementatie.
Wat is Responsible Disclosure?
Responsible Disclosure is een initiatief om het wederzijdse vertrouwen tussen organisaties en goedwillende hackers te bevorderen. Het werkt als volgt: een organisatie publiceert een helder beleid over wat hackers kunnen verwachten als ze een beveiligingsprobleem in het informatiesysteem of product van die organisatie melden. In dit beleid geeft de organisatie aan hoe gereageerd wordt op de melding, hoe deze afgehandeld wordt en hoe snel het beveiligingsprobleem verholpen wordt. Daarnaast laten ze duidelijk weten hoe hackers het probleem kunnen melden. Zo wordt bijvoorbeeld vaak gevraagd om alleen kwetsbaarheden via een versleutelde verbinding aan te leveren en nooit en te nimmer persoonsgegevens uit een database te ontfutselen als ‘bewijs’ dat het een reëel beveiligingsprobleem betreft. De – door nieuwsgierigheid gedreven hacker – kan zo een organisatie helpen haar beveiliging te verbeteren zonder zelf het risico te lopen dat deze organisatie juridische stappen zal nemen.
Nieuwsgierige hackers en het onderwijs
Begin dit jaar was het precies 30 jaar geleden dat een hacker onder zijn bijnaam ‘The Mentor’ zijn stuk ‘Hacker’s Manifesto’ publiceerde waarin hij nieuwsgierigheid als een van de kerneigenschappen van hackers positioneerde. Hij geeft daarin af op saaie opdrachten die hij moest maken op de middelbare school maar vertelt ook over zijn passie en wat echt zijn interesse wekte: de computer. Veel informatiebeveiligingsprofessionals zullen zich herkennen in deze nieuwsgierigheid. En wellicht hebben sommige ook in hun jeugdige jaren weleens geëxperimenteerd met de beveiliging van de schoolcomputers.
Uit gesprekken die Deloitte voerde met vertegenwoordigers van het voortgezet onderwijs (in het kader van ons initiatief ‘HackLab High School’) bleek dat de puberhackers scholen voor een dilemma stellen. Aan de ene kant wil het voortgezet onderwijs interesse in technologie aanmoedigen. Het straffen van een leerling die de regels breekt, maar tegelijkertijd zichzelf programmeren, netwerkkennis en ICT-vaardigheden aanleert, voelt niet goed. Aan de andere kant willen scholen voorkomen dat scholieren de privacy van hun medescholieren of de integriteit van de cijferhuishouding schenden. En nog belangrijker: ze willen dat hun leerlingen zich aan de wet houden.
Scholieren die op onbegrip stuiten en bijvoorbeeld buitenproportioneel gestraft worden voor kattenkwaad lopen het risico het verkeerde pad op gestuurd te worden. De scholieren zullen zich gaan bekwamen in anti-forensische technologieën om meer straf te voorkomen maar toch hun nieuwsgierigheid te kunnen blijven najagen. Terwijl een juiste stimulatie via Responsible Disclosure de scholieren helpt zich te bekwamen in skills – zoals rapporteren – die in hun verdere carrière ook zeer nuttig zijn.
De oplossing: Responsible Disclosure op het voortgezet onderwijs als techniek promotor
Kortom, het bovengeschetste dilemma is met een win-win op te lossen. Door op het voortgezet onderwijs een Responsible Disclosure beleid te voeren en dit intern uit te dragen naar de leerlingen, zouden onderwijsinstellingen de dreiging van hackende leerlingen om kunnen zetten in een aanwinst voor hun informatiebeveiliging. Nieuwe leerlingen komen met nieuwe inzichten en zo ontstaat een continue stroom aan tips om de systemen te verbeteren. Daarnaast stimuleert het leerlingen om spelenderwijs hun cybervaardigheden te ontwikkelen, zonder dat ze hiervoor bestraft worden. Daarnaast worden ze zich bewust van wat privacy inhoudt en dat ze verantwoordelijk dienen om te gaan met gevoelige informatie. Tenslotte heeft de maatschappij baat bij de levensles die de leerlingen krijgen aangereikt. Door de ethische omkadering is de kans groot dat als de leerlingen kwetsbaarheden in andere sectoren tegen komen ze dit ook –zoals ze geleerd hebben- netjes zullen melden in plaats van er (mis)gebruik van te maken, kortom een win-winsituatie die wij iedereen van harte aanbevelen.
Wel vraagt dit van de scholen en hun ICT-afdeling een andere houding ten opzichte van deze hackende leerlingen. Zolang ze zich aan de afspraken houden dienen ze niet gestraft te worden, hoe groot en pijnlijk de blunder ook is die ze bloot weten te leggen.
Hackende scholieren, prijs ze de hemel in!
***** Responsible Disclosure tips voor het voortgezet onderwijs *****
Om tot een Responsible Disclosure beleid te komen voor scholen is het belangrijk om de al bestaande Responsible Disclosure regeling specifiek te maken voor de scholieren. Spreek met de scholieren tenminste het volgende af:
* Het testen mag de systemen van de school niet schaden;
* Gevonden informatie mag niet met anderen gedeeld worden;
* Gevonden kwetsbaarheden moeten direct gemeld worden en mogen niet eerst misbruikt worden;
* Het meldpunt voor Responsible Disclosure ligt bij een IT medewerker die een technische inschatting kan maken, deze betrekt altijd de mentor van de scholier bij het beoordelen van het vraagstuk;
* Als de scholieren zich aan de regels houden mogen ze de gevonden kwetsbaarheden aan de directeur presenteren.
Referenties
[1] https://www.ncsc.nl/binaries/content/documents/ncs…
[2] http://apeldoorn.notudoc.nl/cgi-bin/showdoc.cgi/ac…
[3] https://responsibledisclosure.nl/achtergrond.html
[4] https://twitter.com/floorter
[5] http://phrack.org/issues/7/3.html#article
[6] http://www2.deloitte.com/nl/nl/pages/risk/events/hacklab-high-school.html
[Deze blogpost is geschreven door Jeroen Slobbe, Security & Privacy consultant bij Deloitte, en Marko van Zwam, managing partner Deloitte Security & Privacy team.]
Verder lezen over Hacken
Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime13.11.2023
Cybercrime in 2024: AI en CaaS maken het leven van cybercriminelen makkelijker
Cybercrime02.11.2023
Boeing getroffen door een ransomware hack
De veiligheid van toestellen, op de grond en in de lucht, is niet in gevaarCybercrime05.10.2023
Convenant cybersecurity sector voor de strijd tegen ransomware
Cybercrime08.09.2023
Apple lost twee zeroday kwetsbaarheden op in iOS
Advies: installeer deze update zo snel mogelijkCybercrime30.08.2023
Politie maakt einde aan ‘s werelds grootste botnet Qakbot
Cybercrime08.08.2023
Mysterie rondom hoge stralingspieken rond Chernobyl breidt uit
Verder lezen over Hackers
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Cybercrime08.02.2024
Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime28.11.2023
Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit
Wrong!Cybercrime20.11.2023
Last minute decemberaankopen: een feest voor fraudeurs
Cybercrime13.11.2023