Document toolboxDocument toolbox

5.6.7. De details over responsible disclosure

Wat is het?

Bij Responsible Disclosure (RD) nodig je white hat hackers uit om kwetsbaarheden te melden op je toepassingen. De voorwaarde is hier wel dat de white hat hacker eventueel gevonden kwetsbaarheden niet actief uitbuit.

Je bepaalt hierbij enkel de scope (bijvoorbeeld: de website www.vlaanderen.be en alle sub-sites hiervan) die ze mogen onderzoeken. Zij proberen op eigen initiatief welke aanvalsvectoren mogelijk zijn. Bij het vinden van een kwetsbaarheid, melden ze dit aan ons (via een externe partij) en verbindt de overheid zich ertoe deze kwetsbaarheid op te lossen.

Een compensatie voor de gevonden kwetsbaarheden is mogelijk. In tegenstelling tot een penetratietest, is de scope van RD veel breder: er zijn minder beperkingen in de scope van wat de white hat hacker kan testen en ze kunnen ook meer aanvalsvectoren gebruiken. Sowieso gebeurt dit op de productieomgeving.

Een white hat hacker mag binnen de context van Responsible Disclosure een gevonden kwetsbaarheid niet publiek maken, tenzij de Vlaamse overheid haar verplichtingen voor een tijdige oplossing niet naleeft. Dit moet de Vo expliciet opnemen in het contract met de white hat hacker, en/of het platform dat we hiervoor gebruiken.

In diezelfde context zorg je er ook voor dat er een duidelijke code of conduct bestaat en bevestigd is door alle betrokken partijen. Dit moet op juridisch sluitende manier moeten gebeuren.

In welke omgeving doe je aan responsible disclosure?

Omdat dit soort oefening open staat voor mensen buiten onze organisatie, zonder hen extra rechten op onze toepassingen te geven, kan dit enkel in de productieomgeving.

Wat?

  • Dit soort oefening is een aanvulling op een penetratietest, geen vervanging ervoor. Het biedt namelijk een ander perspectief om te testen: de testscenario’s liggen niet vast en bieden dus meer ruimte om aanvalsvectoren te ontdekken

  • Dit proces verloopt via een derde partij met wie wij in contact staan via een afzonderlijk beschreven proces

  • Een melding van een kwetsbaarheid handel je af als een veiligheidsincident, waarbij de urgentie afhangt van het risico gekoppeld aan de gemelde kwetsbaarheid. Hiervoor kun je dezelfde termijnen hanteren als voor penetratietesten

  • De premies die we uitbetalen aan de white hat hacker bij een als uitbuitbaar bewezen kwetsbaarheid:

    • € 100 voor een kwetsbaarheid die voorkomt in de OWASP Top 10

    • Voor andere kwetsbaarheden, een ad hoc te bepalen vergoeding

Welke tools?

Dit proces verloopt via een derde partij met wie wij in contact staan via een afzonderlijk beschreven proces.

 

Hier is een high level beschrijving:

 

 

Scope?

  • Alle online toepassingen

  • Alle websites

  • Dit kan gaan om toepassingen of websites in eigen beheer, die van de centrale dienstverlening, of die bij een leverancier