De 17-jarige Elyesa ontdekte een lek in het zaaksysteem van de gemeente Leiden en meldde dit, waarna de gemeente het kon oplossen. Leiden heeft een beleid voor responsible disclosure. Met zo’n beleid maakt een organisatie duidelijk dat ze meldingen als deze serieus neemt.
De gemeente Leiden heeft sinds de inwerkingtreding van het responsible disclosure (RD)-beleid tien meldingen gehad, waarvan het bij negen om een echte kwetsbaarheid ging. Kaspar Melchior, destijds chief information security officer (CISO) bij de gemeente: “De melders zijn tot nu toe heel behulpzaam bij het oplossen van de kwetsbaarheden. Ik zie responsible disclosure als een win-win: wij worden als gemeente steeds een stukje veiliger en de melders vinden het leuk om erkenning te krijgen voor hun werk.”
Elyesa ging actief op zoek naar kwetsbaarheden in de IT van zijn woonplaats, omdat de gemeente een RD-beleid heeft. Hij meldt wel vaker kwetsbaarheden aan organisaties, maar gaat er alleen actief naar op zoek als een organisatie een RD-beleid heeft.
In het geval van Leiden ging het om een zogenoemde blind cross site scripting (XSS)-kwetsbaarheid. Daarmee kun je kwaadaardige code uitvoeren op een IT-systeem. Elyesa heeft zelf een tool gebouwd om dergelijke kwetsbaarheden op te sporen.
Hij is te spreken over de manier waarop Leiden met de melding omging: “De communicatie van de gemeente was snel en goed. Bij andere bedrijven duurt het soms weken of maanden voordat je een antwoord krijgt en een fout is opgelost. Ik vind het ook erg leuk dat ik een beloning kreeg, dat geeft motivatie om vaker naar fouten te zoeken.”
Erkenning
Gemeenten doen hun uiterste best om hun informatiehuishouding zo goed mogelijk te beveiligen. Desondanks zullen er altijd kwetsbaarheden blijven bestaan. Daarom is het van groot belang om een RD-beleid te hebben, zodat als anderen kwetsbaarheden op de systemen van de gemeente ontdekken zij de weg naar de gemeente kunnen vinden.
Het beleid geeft als het ware de spelregels voor het zoeken, vinden, melden en oplossen van kwetsbaarheden. Een organisatie laat met zo’n beleid zien dat het serieus met meldingen omgaat. Dat het bijvoorbeeld een melding snel zal afhandelen en dat het de melder inlicht over de status ervan. Meestal krijgt de melder ook een bedankje, in de vorm van een T-shirt van de organisatie of iets anders waaruit blijkt dat de melder de organisatie geholpen heeft. Erkenning is belangrijk in de wereld van de ethische of ‘white hat’ hackers, zoals deze IT-onderzoekers ook wel worden genoemd.
Ook de IBD (Informatiebeveiligingsdienst voor gemeenten) ontvangt regelmatig meldingen van burgers, bedrijven en onderzoekers over kwetsbaarheden bij gemeenten. De IBD heeft een ‘hall of fame’ op de website, waar melders erkenning krijgen voor hun waardevolle werk. Gemeenten kunnen melders aanbieden om ook opgenomen te worden in deze ‘hall of fame’. Melders kunnen zelf kiezen onder welke naam en met welke contactgegevens ze willen worden opgenomen. De lijst bevat geen bijzonderheden over de specifieke meldingen.
Leidraad
De IBD heeft een template voor een responsible disclosurebeleid opgesteld voor gemeenten die een RD-beleid willen maken. Gemeenten en gemeentelijke samenwerkingsverbanden kunnen voor meer informatie en tips contact opnemen met de helpdesk van de IBD. De IBD heeft een aanvullende tip voor gemeenten die (willen) werken met RD: denk vooraf goed na hoe de communicatie loopt tussen melder en leverancier. De leverancier van het betreffende IT-systeem zal in de praktijk vaak immers de gemelde kwetsbaarheid moeten oplossen, dus het is van belang dat de communicatie tussen melder en leverancier goed verloopt.
In het geval van Leiden was het leverancier Decos die met de melding aan de slag ging. Frans Dondorp, information security officer bij Decos, is zeer te spreken over RD: “Het is van grote waarde voor de kwaliteit van software en het niveau van informatiebeveiliging dat organisaties met RD werken. Het is onze ervaring dat het vaak lastig is om open en vrij te communiceren met de melder, omdat de organisatie er tussen zit. In dit specifieke geval ging het overigens prima, omdat zowel Leiden als de melder volledig meewerkten aan een snelle oplossing.”
Vaak test degene die de melding deed achteraf of de kwetsbaarheid echt is opgelost. Zo ook in dit geval. Melchior: “Elyesa was zeer behulpzaam en heeft Decos goed ondersteund bij het oplossen van de kwetsbaarheid. Hij reageerde ook steeds erg snel op vragen en heeft uitgebreid uitgelegd wat zijn aanpak was.”
Voor alle gemeenten
Responsible disclosure (RD) kan een goede bijdrage leveren aan het verhogen van de veiligheid van informatiesystemen en (software)producten. Niet alleen voor de organisatie waar de kwetsbaarheid is ontdekt, maar voor alle organisaties die dezelfde IT gebruiken. Dat geldt ook voor gemeenten.
Gemeenten, leveranciers en de IBD trekken dan ook samen op om zo snel mogelijk alle betrokken organisaties te informeren. In het geval van de melding bij de gemeente Leiden hebben de gemeente, de IBD en Decos ervoor gezorgd dat alle klanten van het betreffende product snel de oplossing hebben geïmplementeerd.
De IBD heeft de beveiligingscontactpersonen van gemeenten geïnformeerd dat er een beveiligingsoplossing voorhanden was en tegelijkertijd heeft Decos de eigen contactpersonen bij dezelfde gemeenten geïnformeerd. Op deze manier zijn zowel de producteigenaar als de beveiligingsfunctionaris op de hoogte van het belang van een snelle implementatie van de oplossing.
Meer informatie
– Het responsible disclosure beleid van de IBD
– Template voor een responsible disclosurebeleid
– Gemeenten, intergemeentelijke sociale diensten en belastingsamenwerkingen kunnen voor meer informatie en tips contact opnemen met de helpdesk van de IBD via 070 373 8011 of info@IBDgemeenten.nl.
– De tool van Elyesa is open source en te downloaden via Github.
