Responsible Disclosure komt steeds meer in zwang. Het Nationaal Cyber Security Centrum (NCSC) publiceerde een richtlijn voor overheidsinstanties welke door steeds meer Gemeenten geïmplementeerd wordt. En met succes, zo ontving de gemeente Apeldoorn in de eerste 4 maanden dat ze de regeling hanteerde zo’n 23 tips van experts over beveiliging. Naast de omarming binnen de overheid zien we dat ook steeds meer bedrijven de toegevoegde waarde van een Responsible Disclosure beleid zien en over gaan tot implementatie.
Responsible Disclosure is een initiatief om het wederzijdse vertrouwen tussen organisaties en goedwillende hackers te bevorderen. Het werkt als volgt: een organisatie publiceert een helder beleid over wat hackers kunnen verwachten als ze een beveiligingsprobleem in het informatiesysteem of product van die organisatie melden. In dit beleid geeft de organisatie aan hoe gereageerd wordt op de melding, hoe deze afgehandeld wordt en hoe snel het beveiligingsprobleem verholpen wordt. Daarnaast laten ze duidelijk weten hoe hackers het probleem kunnen melden. Zo wordt bijvoorbeeld vaak gevraagd om alleen kwetsbaarheden via een versleutelde verbinding aan te leveren en nooit en te nimmer persoonsgegevens uit een database te ontfutselen als ‘bewijs’ dat het een reëel beveiligingsprobleem betreft. De – door nieuwsgierigheid gedreven hacker – kan zo een organisatie helpen haar beveiliging te verbeteren zonder zelf het risico te lopen dat deze organisatie juridische stappen zal nemen.
Begin dit jaar was het precies 30 jaar geleden dat een hacker onder zijn bijnaam ‘The Mentor’ zijn stuk ‘Hacker’s Manifesto’ publiceerde waarin hij nieuwsgierigheid als een van de kerneigenschappen van hackers positioneerde. Hij geeft daarin af op saaie opdrachten die hij moest maken op de middelbare school maar vertelt ook over zijn passie en wat echt zijn interesse wekte: de computer. Veel informatiebeveiligingsprofessionals zullen zich herkennen in deze nieuwsgierigheid. En wellicht hebben sommige ook in hun jeugdige jaren weleens geëxperimenteerd met de beveiliging van de schoolcomputers.
Uit gesprekken die Deloitte voerde met vertegenwoordigers van het voortgezet onderwijs (in het kader van ons initiatief ‘HackLab High School’) bleek dat de puberhackers scholen voor een dilemma stellen. Aan de ene kant wil het voortgezet onderwijs interesse in technologie aanmoedigen. Het straffen van een leerling die de regels breekt, maar tegelijkertijd zichzelf programmeren, netwerkkennis en ICT-vaardigheden aanleert, voelt niet goed. Aan de andere kant willen scholen voorkomen dat scholieren de privacy van hun medescholieren of de integriteit van de cijferhuishouding schenden. En nog belangrijker: ze willen dat hun leerlingen zich aan de wet houden.
Scholieren die op onbegrip stuiten en bijvoorbeeld buitenproportioneel gestraft worden voor kattenkwaad lopen het risico het verkeerde pad op gestuurd te worden. De scholieren zullen zich gaan bekwamen in anti-forensische technologieën om meer straf te voorkomen maar toch hun nieuwsgierigheid te kunnen blijven najagen. Terwijl een juiste stimulatie via Responsible Disclosure de scholieren helpt zich te bekwamen in skills – zoals rapporteren – die in hun verdere carrière ook zeer nuttig zijn.
Kortom, het bovengeschetste dilemma is met een win-win op te lossen. Door op het voortgezet onderwijs een Responsible Disclosure beleid te voeren en dit intern uit te dragen naar de leerlingen, zouden onderwijsinstellingen de dreiging van hackende leerlingen om kunnen zetten in een aanwinst voor hun informatiebeveiliging. Nieuwe leerlingen komen met nieuwe inzichten en zo ontstaat een continue stroom aan tips om de systemen te verbeteren. Daarnaast stimuleert het leerlingen om spelenderwijs hun cybervaardigheden te ontwikkelen, zonder dat ze hiervoor bestraft worden. Daarnaast worden ze zich bewust van wat privacy inhoudt en dat ze verantwoordelijk dienen om te gaan met gevoelige informatie. Tenslotte heeft de maatschappij baat bij de levensles die de leerlingen krijgen aangereikt. Door de ethische omkadering is de kans groot dat als de leerlingen kwetsbaarheden in andere sectoren tegen komen ze dit ook –zoals ze geleerd hebben- netjes zullen melden in plaats van er (mis)gebruik van te maken, kortom een win-winsituatie die wij iedereen van harte aanbevelen.
Wel vraagt dit van de scholen en hun ICT-afdeling een andere houding ten opzichte van deze hackende leerlingen. Zolang ze zich aan de afspraken houden dienen ze niet gestraft te worden, hoe groot en pijnlijk de blunder ook is die ze bloot weten te leggen.
Hackende scholieren, prijs ze de hemel in!
***** Responsible Disclosure tips voor het voortgezet onderwijs *****
Om tot een Responsible Disclosure beleid te komen voor scholen is het belangrijk om de al bestaande Responsible Disclosure regeling specifiek te maken voor de scholieren. Spreek met de scholieren tenminste het volgende af:
* Het testen mag de systemen van de school niet schaden;
* Gevonden informatie mag niet met anderen gedeeld worden;
* Gevonden kwetsbaarheden moeten direct gemeld worden en mogen niet eerst misbruikt worden;
* Het meldpunt voor Responsible Disclosure ligt bij een IT medewerker die een technische inschatting kan maken, deze betrekt altijd de mentor van de scholier bij het beoordelen van het vraagstuk;
* Als de scholieren zich aan de regels houden mogen ze de gevonden kwetsbaarheden aan de directeur presenteren.
Referenties
[1] https://www.ncsc.nl/binaries/content/documents/ncs…
[2] http://apeldoorn.notudoc.nl/cgi-bin/showdoc.cgi/ac…
[3] https://responsibledisclosure.nl/achtergrond.html
[4] https://twitter.com/floorter
[5] http://phrack.org/issues/7/3.html#article
[6] http://www2.deloitte.com/nl/nl/pages/risk/events/hacklab-high-school.html
[Deze blogpost is geschreven door Jeroen Slobbe, Security & Privacy consultant bij Deloitte, en Marko van Zwam, managing partner Deloitte Security & Privacy team.]
