Banken ondertekenen manifest responsible disclosure

Circa dertig organisaties hebben eind vorige week een intentieverklaring ondertekend, waarin staat dat zij een meldpunt voor ICT-veiligheidslekken zullen ondersteunen, oprichten of al opgericht hebben. Dit ‘Coordinated Vulnerability Disclosure Manifesto’ is een initiatief van de Rabobank en CIO Platform Nederland, en is onder meer ondertekend door ABN AMRO, ING, SNS Bank en de Rabobank zelf.

De afgelopen jaren is ICT een steeds belangrijker onderdeel geworden van het dagelijks leven. Niet alleen in mensen hun privéleven door middel van smartphones en andere devices, maar vooral ook voor het internationale bedrijfsleven en de digitale transformaties die zij ondergaat. Omdat men steeds meer afhankelijk is van internet en ICT, worden ook de negatieve gevolgen van cybercrime een steeds belangrijker issue.

Om de cybersecurity van organisaties te verbeteren is het volgens deskundigen zaak dat zij gaan samenwerken met de ‘cyber security gemeenschap’. Door deze samenwerking zou het eenvoudiger kunnen worden om kwetsbaarheden in de ICT van organisaties op te sporen en te verminderen. Dit kan onder meer via het inrichten van meldpunten, waar ICT-veiligheidslekken kunnen worden gemeld door derden. Deze derden zijn onder meer onderzoekers en hackers die met goede bedoelingen op zoek gaan naar zwakke plekken in de cybersecurity van organisaties.

Manifest
Om de inrichting van dergelijke meldpunten te stimuleren besloot de Rabobank om zijn krachten te bundelen met het CIO Platform Nederland, de beroepsvereniging voor CIO’s en andere eindverantwoordelijken op het gebied van ICT en digitalisering. Samen hebben zij een intentieverklaring opgesteld, het Coordinated Vulnerability Disclosure Manifesto. Dit manifest kan worden ondertekend door organisaties, waarmee zij verklaren dat zij het principe van een meldpunt voor ICT-veiligheidslekken ondersteunen en zelf een meldpunt zullen inrichten of dit al hebben gedaan.

“Met dit manifest willen we de inspanningen van onderzoekers en hackergemeenschap erkennen en tevens de noodzaak van een evenwicht tussen transparantie en tijdig reageren benadrukken”, legt Ronald Verbeek, Directeur CIO Platform Nederland, uit. Hij vervolgt: “Aan de ene kant moet het publiek worden geïnformeerd over nieuw ontdekte beveiligingslekken. Aan de andere kant hebben organisaties enige tijd nodig om de melding te onderzoeken en de kwetsbaarheid weg te nemen. Kwetsbare onderdelen in systemen kunnen veel schade opleveren als ze niet tijdig aangepakt worden; we hebben liever dat ze worden gemeld door goedbedoelende hackers dan misbruikt door kwaadwillende criminelen.”

Dat meer organisaties er zo tegenaan kijken blijkt uit het feit dat eind vorige week circa 30 organisaties de intentieverklaring hebben ondertekend*. Naast initiatiefnemers Rabobank en CIO Platform Nederland zelf, hebben nog meer spelers uit de bankensector hun steun aan het manifest toegekend door deze te ondertekenen. Ook ABN AMRO, ING en SNS Bank hebben alle drie hun handtekeningen gezet. 

Wim Hafkamp, Chief Information Security Officer bij Rabobank: “Klanten willen hun bankzaken veilig, snel en gemakkelijk kunnen regelen. Betrouwbaarheid en veiligheid van onze systemen zijn van fundamenteel belang om het vertrouwen van onze klanten te behouden. Middels dit manifest bieden we security onderzoekers en ethische hackers een mogelijkheid om eventuele zwakheden bij ons te melden. Melders hoeven hierbij niet te vrezen voor juridische stappen. Integendeel, meldingen worden altijd serieus behandeld. Wel gelden er voor zowel de ontvangende partij als de melder een aantal spelregels. Organisaties komen zo in permanente dialoog met bekende en onbekende cyber security onderzoekers. We zijn dan ook blij dat we vandaag met circa 30 organisaties deze stap kunnen zetten. Samenwerken en leren van elkaar is juist op dit gebied belangrijk.” 

De overige ondertekenaars zijn CIOforum Belgian Business, Corbion Group Netherlands, Eneco, European Network for Cyber Security, Honeywell, IHC Merwede, KPN, LUMC, NS, NUON, NXP, Palo Alto Networks, Phillips, PostNL, SAAB, Schuberg Phillis, Stedin, Surfnet, Tennet, TNO, Vodafone en VOICE. Het manifest blijft open voor ondertekening door andere organisaties.

* De ondertekening vond plaats tijdens de High Level Meeting Cyber Security in Amsterdam, georganiseerd door het Ministerie van Veiligheid en Justitie in het kader van het Nederlands voorzitterschap van de EU.