Coordinated Vulnerability Disclosure

Stel gebruikers en onderzoekers in staat kwetsbaarheden te melden via een Coordinated Vulnerability Disclosure Policy en versterk uw IT-beveiliging.

// Coordinated Vulnerability Disclosure

Voorkomende is beter dan genezen

Een bedrijf organiseert haar bedrijfsactiviteiten effectief met bedrijfsprocessen waarin beheers- en beveiligingsmaatregelen zijn opgenomen. IT-producten en -diensten ondersteunen de bedrijfsprocessen en medewerkers sturen de processen aan. Hiermee beoogt een bedrijf kwetsbaarheden tijdens de operatie te voorkomen.

Bij het ontwikkelen van IT-producten en -diensten vinden aan het eind van elke stap testen plaats. In het IT-ontwikkelproces, DevSecOps, is er speciale aandacht voor het treffen van effectieve beheer- en beveiligingsmaatregelen “by design”. De ontwikkelaars voeren testen uit op het juist functioneren van de getroffen maatregelen. Toch blijven in de IT-producten en -diensten, alsmede bij de implementatie hiervan in de organisatie, kwetsbaarheden bestaan die door onderzoekers, ethische hackers, gevonden worden.

Het is essentieel dat het bedrijf over de kwetsbaarheden geïnformeerd wordt, de impact inschat op de bedrijfsvoering en aanvullende maatregelen neemt waardoor de kwetsbaarheden weggenomen worden. Als dit proces niet goed verloopt zullen de onderzoekers de kwetsbaarheden mogelijk publiceren op openbare fora en kunnen cybercriminelen gemakkelijk van de kwetsbaarheden misbruik maken. Een dergelijk scenario bedreigt de bedrijfscontinuïteit.

Ga aan de slag met uw CVD

De bedrijfsleiding kan op basis van deze white paper doortastend en effectief de beheers- en beveiligingsmaatregel CVD organiseren.

// Coordinated Vulnerability Disclosure

Een tot de verbeelding sprekende waardepropositie

Cybercriminelen zullen misbruik van de kwetsbaarheden maken en kunnen het bedrijf daarmee chanteren. Om dat te voorkomen is medewerking van de leverancier van IT-producten en -diensten nodig. Zij kunnen de kwetsbaarheden wegnemen. Adequate afspraken met IT-leveranciers kunnen veel aansprakelijkheids- en kostenrisico’s beperken en voorkomen. Het actief toepassen van de CVD-maatregelen maakt het bedrijf een aantrekkelijk partner om zaken mee te doen.

Zie de waardeproposities en businesscase.

// Coordinated Vulnerability Disclosure

Veelgestelde vragen

Wat is een Coordinated Vulnerability Disclosure?

Het doel van Coordinated Vulnerability Disclosure (CVD) is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden te delen. Eigenaren van ICT-systemen kunnen dan kwetsbaarheden verhelpen vóórdat deze actief misbruikt kunnen worden door derden (zie leidraad van het NCSC)

Hoe werkt een Coordinated Vulnerability Disclosure?

Als onderdeel van de registratie op het vertrouwensnetwerk biedt MYOBI haar gebruikers CVD-dienstverlening aan. Met behulp van de CVD-dienstverlening organiseert het bedrijf de volgende activiteiten:

  1. Bewustmaken van de bedrijfsleiding, het management en de betrokken medewerkers, bewustwording van het management en de medewerkers en training van het management en de sleutelmedewerkers;
  2. Een CVD-beleid en een CVD-verklaring;
  3. Onbekende onderzoekers kunnen laagdrempelig kwetsbaarheden van bedrijven melden, MYOBI authentiseert de identiteit van de onderzoeker, neemt de eerste documentatie van de kwetsbaarheid in ontvangst en informeert de CVD-coördinator van het bedrijf;
  4. Op initiatief van de onbekende onderzoeker of het bedrijf start in een beveiligt proces een draaiboek met onderliggende contracten gericht op het maken van werkafspraken tussen bedrijf/ CVD-coördinator en onbekende onderzoeker en uitwisselen van documentatie van de kwetsbaarheid; en
  5. In een beveiligt proces wisselen partners informatie uit over het wegnemen van de kwetsbaarheid.

Het is mogelijk dat heb bedrijf de hulp inroept van een materiedeskundige die de kwetsbaar inschat, de impact aangeeft voor de bedrijfsvoering en aangeeft welke maatregelen effectief zijn om de kwetsbaarheid weg te nemen.

Waarom heb ik een Coordinated Vulnerability Disclosure nodig?

Elk IT-gedreven product of dienst kent kwetsbaarheden. Soms worden kwetsbaarheden in IT opgemerkt en soms ook niet. Naarmate de kwetsbaarheid blijft bestaan en kennis over kwetsbaarheden zich breder verspreidt neemt de kans toe dat cybercriminelen misbruik maken van deze kwetsbaarheden. Veelal leidt de betrokkenheid van cybercriminelen tot het afpersen van het bedrijf.

Hoe kan ik mij voorbereiden op effectief wegnemen van kwetsbaarheden?

Het vinden en melden van kwetsbaarheden in IT-gerelateerde producten en diensten en de implementaties daarvan kunnen wij effectief organiseren en de kans op nare ervaringen met cybercriminelen tot een minimum terugbrengen.

Voor het wegnemen van kwetsbaarheden hebben bedrijven de medewerking van hun leveranciers (en wellicht hun onderaannemers) van IT-gedreven producten en diensten nodig. Het bedrijf, in het bijzonder de inkopers van IT-gedreven producten en diensten, moeten alert zijn dat met leveranciers passende afspraken zijn gemaakt snel na het constateren van een kwetsbaarheid passende maatregelen door leveranciers worden genomen de kwetsbaarheid weg te nemen.

// Neem gerust contact met ons op om uw vraag of behoefte te bespreken

Hulp nodig?