Ethische hackers signaleren beveiligingslekken bij telecombedrijven

business_trendsEen jaar geleden zijn zes telecomaanbieders een meldpunt responsible disclosure gestart. Responsible disclosure is het op verantwoorde wijze melden van mogelijke beveiligingsproblemen en kwetsbaarheden in ict-systemen. De telecomaanbieders zijn positief over de resultaten van dit meldpunt en zetten dit verder voort. Van de ongeveer 380 meldingen die in een jaar werden gedaan, hebben ongeveer 75 bijgedragen aan het op tijd verhelpen van een kwetsbaarheid. Dit meldt brancheorganisatie Nederland ICT. De overige meldingen bleken na verder onderzoek geen kwetsbaarheid te zijn.

De afspraken die over het meldpunt zijn gemaakt, zijn nu ook vastgelegd in een gedragscode responsible disclosure. Nederland ICT nodigt andere aanbieders uit om ook de gedragscode te onderschrijven.

Evaluatie

De betrokken telecombedrijven zijn volgens Nederland ICT positief over de ervaringen met responsible disclosure. Bij de deelnemende bedrijven zijn in een jaar tijd ongeveer 75 meldingen gedaan die hebben bijgedragen aan het op tijd verhelpen van een kwetsbaarheid (voor één kwetsbaarheid kwamen vaak meerdere meldingen binnen). In totaal zijn ongeveer 380 meldingen ontvangen waarvan een groot deel na verder onderzoek geen kwetsbaarheid bleek te zijn. De ervaringen die de sector heeft opgedaan, bespreekt zij met ethische hackers om verder van elkaar te leren.

Gedragscode

Telecombedrijven hebben de afspraken over het meldpunt responsible disclosure en de spelregels voor het melden nu ook formeel vastgelegd in een gedragscode responsible disclosure. De bedrijven KPN, T-Mobile, Tele2, UPC, Vodafone en Ziggo hebben deze gedragscode op 1 november 2013 ondertekend. Nederland ICT nodigt andere aanbieders uit om de gedragscode ook te onderschrijven en een meldpunt op hun site in te richten.

Ethische hackers

Responsible disclosure is het op verantwoorde wijze melden van mogelijke beveiligingsproblemen en kwetsbaarheden in ict-systemen. Telecomaanbieders hebben op hun eigen website een meldpunt waar gebruikers en ethische hackers, eventueel anoniem, hiervan melding kunnen maken. Afgesproken is dat aanbieders helder aangeven wat de voorwaarden zijn voor een responsible disclosure-melding. Zo wordt er nadrukkelijk gevraagd om de kwetsbaarheid niet met anderen te delen. Op deze manier kunnen aanbieders een eventueel probleem eerst oplossen. Vanzelfsprekend geldt de strikte voorwaarde dat de melder geen misbruik maakt van de mogelijke zwakke plek. Als melders zich aan de spelregels houden, zal de aanbieder geen aangifte doen van cybercriminaliteit.

Links

De volgende aanbieders zijn bij het meldpunt aangesloten:

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.