IBD roept gemeenten op hun ‘Coordinated Vulnerability Disclosure’-proces onder de loep te nemen 

Verschillende media berichten over onderzoek van een promovendus van de Universiteit Twente, waaruit een beeld ontstaat dat er voor een aantal gemeenten nog wel wat te verbeteren valt bij ‘responsible disclosure (CVD) meldingen’. Dit zijn meldingen van derden, over beveiligingsproblemen in de systemen van gemeenten. Het onderzoek wordt binnenkort gepubliceerd. De IBD heeft contact gehad met de onderzoeker en met de gemeenten in kwestie. De IBD is blij met de verhoogde aandacht voor dit soort processen, omdat het ten goede komt aan de informatieveiligheid van gemeenten. De IBD roept alle Nederlandse gemeenten op om hun CVD-beleid nog eens onder de loep te nemen.  

Beveiligingsprobleem niet altijd opgelost
Meldingen van technische kwetsbaarheden zijn van groot belang, ook voor gemeenten. Gemeenten beschikken over allerlei gegevens van inwoners en bedrijven, waaronder gevoelige informatie. Daarom is het des te belangrijker dat het proces van melden van problemen met die beveiliging, soepel en adequaat verloopt. Een melding leidt er ten eerste kennelijk nog niet altijd toe dat het beveiligingsprobleem wordt opgelost.  

Persoonsgegevens
Ook vragen gemeenten soms persoonsgegevens op die niet noodzakelijk zijn om het probleem op te lossen. Dit gebeurt soms onbewust, via geautomatiseerde processen. Het moet echter mogelijk zijn om CVD-meldingen anoniem te doen. Het gaat bij dit soort meldingen vaak om ethisch hackers, dit zijn mensen met goede intenties, die organisaties willen helpen om beveiligingsproblemen op te lossen. Vanzelfsprekend willen zij geen risico lopen op vervolging omdat hacken in principe strafbaar is. 

Neem het proces onder de loep
De IBD roept gemeenten daarom op, indien zij dit nog niet gedaan hebben, het proces onder de loep te nemen: Is duidelijk wie er intern verantwoordelijk is voor het oppakken en afhandelen van responsible disclosure meldingen? Is de gemeente naar buiten toe transparant over het proces? Als er vragen zijn over hoe zo’n proces eruit moet zien, kunnen gemeenten contact opnemen met de IBD. Desgewenst kunnen gemeenten de IBD opnemen als contactpersoon voor CVD meldingen. De IBD ondersteunt gemeenten dan bij het duiden en opvolgen van de melding. Gemeenten kunnen ook gebruikmaken van de IBD Handreiking Coordinated Vulnerability Disclosure. 

Contact
De IBD heeft contact met een aantal gemeenten dat in het onderzoek naar voren komt vanwege de overmatige opvraag van persoonsgegevens bij het indienen van een melding. De gemeenten in kwestie zijn bezig om dit aan te passen of hebben dit al gedaan. Deze bevraging vindt ‘onder water’ plaats als een melding in het zaaksysteem wordt geregistreerd. De opgevraagde persoonsgegevens zijn daardoor niet zichtbaar voor de behandelaars. Het bovenmatig verwerken van persoonsgegevens is niet toegestaan.  

Zie ook
https://one-conference.nl/sessions/your-vulnerability-disclosure-is-important-to-us/