'Responsible disclosure': veilig melden van datalekken

Ook hackers met goede bedoelingen worden vaak gewantrouwd door organisaties en het ontbreekt aan heldere richtlijnen voor het melden van problemen. Een 'responsible disclosure' op je website kan een melder duidelijkheid geven.

Waargebeurd: een bibliotheek in ons werkgebied kreeg onlangs een melding van een hacker, die een beveiligingslek had ontdekt in een collaboratie-platform dat door de bibliotheek werd gebruikt. Het lek kon snel worden gedicht en de hacker werd bedankt voor zijn alertheid.

Echter, ook hackers met goede bedoelingen worden vaak gewantrouwd door organisaties en het ontbreekt aan heldere richtlijnen voor het melden van problemen. Een 'responsible disclosure' op je website geeft een melder duidelijkheid over de manier waarop een melding gedaan kan worden en (als die richtlijn wordt gevolgd) aan welke beloften de organisatie zich houdt. Bijvoorbeeld: geen strafrechtelijke vervolging en een reactie binnen een bepaalde termijn.

Het is een kleine moeite om deze publicatie te doen en het helpt om je organisatie beter te beveiligen, omdat je hackers in de gelegenheid stelt veilig te melden.

Bekijk een uitstekend (en veelgebruikt) voorbeeld op responsibledisclosure.nl

Let op: Als je deze tekst wilt gebruiken moet je in ieder geval de bedrijfsnaam, het e-mail adres en de bijbehorende PGP key aanpassen. Nog geen PGP keys? Hiermee kun je versleutelde e-mails versturen. Je kunt deze gratis aanmaken met de software Gpg4win: www.gpg4win.org.

Bronnen

• responsibledisclosure.nl/achtergrond.html
• www.mackrad.nl/nieuws-en-updates/tips-en-trucs/wat-is-een-responsible-disclosure

Meer informatie

Voor meer informatie over dit artikel of overige vragen, mail naar privacy@probiblio.nl.

Dit artikel is bedoeld voor Privacy Coördinatoren van openbare bibliotheken in Noord- en Zuid-Holland.

De informatie verstrekt door de Privacy Servicedesk is informatief bedoeld. Hoewel ze met zorg is samengesteld, kunnen fouten niet geheel worden uitgesloten. De informatie bevat geen juridisch advies. Probiblio aanvaardt derhalve geen enkele aansprakelijkheid voor handelen door uzelf of door derden op basis van de informatie in dit bericht. Voorts zijn de Algemene Leveringsvoorwaarden van Probiblio van toepassing op de Privacy Servicedesk.