Inleiding
Responsible Disclosure is het stimuleren van het op verantwoorde wijze melden van vermoedelijke beveiligingsproblemen en kwetsbaarheden in ICT-systemen. Veel organisaties, waaronder de rijksoverheid en banken, maken gebruik van een Responsible Disclosure beleid. Het beleid is een oproep aan iedereen die een zwakke plek ontdekt, dit direct en op een verantwoorde wijze te melden. Vervolgens kan de beheerder van het ICT-systeem maatregelen nemen om de zwakke plek te verhelpen en kan een organisatie een veiligere positie innemen in de ICT omgeving.
Full disclosure
In de ICT branche loopt men altijd gevaar op onthulling van kwetsbaarheden in de software. Men kan per ongeluk tegen een zwakke plek in een systeem aanlopen of er bewust naar op zoek gaan. Wanneer een dergelijke zwakke plek wordt geconstateerd, kan de vinder er voor kiezen de details over het beveiligingsincident volledig te publiceren. Dit noemt men “full disclosure”. Wanneer dit gebeurt kan het bedrijf waar het lek is geconstateerd zeer kwetsbaar worden voor cyberaanvallen. Daarom kan het hanteren van Responsible Disclosure beleid aan bedrijven worden aangeraden, omdat hierdoor door middel van samenwerking tussen de melder en de verantwoordelijke van het ICT-systeem het incident beter in kaart kan worden gebracht.
Responsible disclosure
Bij het toepassen van de Responsible Disclosure vindt een samenwerking plaats tussen de melder van het beveiligingsincident en de verantwoordelijke van het systeem in de zin van artikel 1 sub d van de Wbp. In bepaalde gevallen kan het zijn dat de melder van een lek een ethische hacker is. Een ethische hacker is een hacker die in beginsel goede bedoelingen heeft en beoogt de veiligheid van een bepaald ICT-systeem te verbeteren. Ondanks diens eventuele goede bedoelingen blijft het opzettelijk en wederrechtelijk binnendringen van een computersysteem strafbaar in de zin van artikel 138ab Wetboek van Strafrecht. In een Responsible Disclosure beleid kan een bedrijf aangifte tegen de melder van een lek uitsluiten, mits de melder van het lek zich aan de gestelde regels in het Responsible Disclosure beleid houdt. Hierbij moet wel opgemerkt worden dat middels het toepassen van Responsible Disclosure strafrechtelijke vervolging door het OM niet kan worden uitgesloten.
Cybersecurity
De Leidraad Responsible Disclosure bestaat sinds 2013 en heeft als doel het bieden van bouwstenen voor organisaties om een beleid voor Responsible Disclosure vast te stellen. De Leidraad draagt bij aan de cybersecurity in Nederland. Het toepassen van een Responsible Disclosure beleid is aantrekkelijk voor bedrijven, doordat organisaties op deze manier meer controle kunnen krijgen over de manier waarop een incident wordt gemeld. Daarnaast lopen mensen die een beveiligingslek constateren minder risico op strafrechtelijke vervolging zolang zij zich houden aan het Responsible disclosure beleid van het betreffende bedrijf bij het melden van het lek.
Mocht u geadviseerd willen worden in het opstellen van een Responsible Disclosure, dan kunt u altijd vrijblijvend contact opnemen met de vakgroep IE en ICT van JPR Advocaten.
Evelyn Kroese is medeauteur van dit artikel. Zij is werkzaam als student-stagiaire binnen de vestiging Deventer.
Yaşar Bayram
Eva Lammers
Joke Schraagen