FERM Rotterdam heeft een artikel gepubliceerd over Responsible Disclosure en bekijkt daarin het praktische nut ervan, met tips over de meest voorkomende zwakke plekken. Ook vertellen ze over over onze samenwerking met Gemeente Rotterdam.
De website van de Gemeente Rotterdam wordt maandelijks zo’n 16.000 keer aangevallen. En dat is slechts een gemiddelde, want het kan oplopen tot wel 100.000 pogingen in een drukke maand. Reden te meer om responsible disclosure (of RD)-beleid te voeren.
Een tijd geleden publiceerden we een uitgebreide handleiding voor het plaatsen van zo’n beleid op de website van je bedrijf of organisatie. Vandaag bekijken we het praktische effect ervan. In gesprek met Joab de Lang, Information Security Officer bij Gemeente Rotterdam.
PRAKTISCH NUT
Uiteraard is de website van de gemeente goed beveiligd, waardoor die tienduizenden pogingen per maand niets opleveren. Maar zoals we weten is goede beveiliging een proces, en geen product. Controle van het digitale hek is een doorlopende taak. Daarom vind je ook bij de gemeente op de website de mogelijkheid om een melding te maken van gevonden kwetsbaarheden.
Anders dan bij bijvoorbeeld FERM of het Havenbedrijf maak je die melding niet rechtstreeks bij de gemeente. ,,We hebben een responsible disclosure-beleid, maar wie daar gebruik van wil maken wordt doorverwezen naar Zerocopter, een partij die dat voor ons regelt. Zij doen een check: is het een legitieme melding, of stelt het weinig voor?”
Zerocopter is een collectief van security specialisten die zich inzetten voor de beveiliging van online omgevingen. Je kunt ze inschakelen om als tussenpost te fungeren, want in de praktijk krijg je hackers van allerlei kwaliteiten die meldingen doen en niet alles is even bruikbaar. Het ‘Triage Team’ van Zerocopter beoordeelt ontvangen meldingen, overlegt met de melders over specificaties en stuurt alleen valide kwetsbaarheden door. Bovendien wordt de melding door hen afgehandeld, zodat je zelf de aandacht op het oplossen van aangetoonde kwetsbaarheden kunt richten.
Het nut van een tussenpartij als Zerocopter hangt sterk af van de grootte van je onderneming. Als je veel online verkeer op je website(s) hebt en de nodige reacties op je RD-beleid verwacht, dan heb je met het uitbesteden daarvan heel wat minder uitzoekwerk en weet je zeker dat je alleen de relevante meldingen doorgestuurd krijgt.
Written by Zerocopter
February 6, 2018