® 
Responsible Disclosure
Definitie
Responsible disclosure (ook: coordinated vulnerability disclosure) is het proces waarbij een security researcher een gevonden kwetsbaarheid meldt aan de getroffen organisatie, met als doel dat de organisatie het probleem kan oplossen voordat het openbaar wordt gemaakt.
Responsible disclosure (coordinated vulnerability disclosure) is het proces waarbij een security researcher een gevonden kwetsbaarheid verantwoord meldt aan de getroffen organisatie, zodat deze het probleem kan oplossen voordat het openbaar wordt gemaakt en door kwaadwillenden kan worden misbruikt.
Hoe werkt responsible disclosure?
Het proces verloopt in vier stappen: de onderzoeker ontdekt een kwetsbaarheid, informeert de getroffen organisatie via het beveiligingscontact of de vulnerability disclosure policy (VDP), geeft de organisatie een redelijke termijn om de kwetsbaarheid te verhelpen (doorgaans 90 dagen, conform Google Project Zero-standaard), en maakt de kwetsbaarheid daarna openbaar (eventueel met details over de fix). Gedurende de remediation-periode publiceert de onderzoeker geen details die misbruik mogelijk maken.
Vulnerability Disclosure Policy (VDP)
Organisaties die responsible disclosure serieus nemen publiceren een VDP: een document dat beschrijft hoe onderzoekers kwetsbaarheden kunnen melden, welke systemen in scope zijn, welke gedragsregels gelden en welke bescherming de organisatie biedt tegen juridische vervolging. In Nederland verplicht de Wet Digitale Overheid overheidsorganisaties tot het publiceren van een VDP.
Impact voor organisaties
Organisaties zonder VDP missen waardevolle kwetsbaarheidsrapporten: onderzoekers die geen veilig meldingskanaal vinden kiezen soms voor full disclosure (openbare publicatie) of melden de kwetsbaarheid helemaal niet. Een goed responsible disclosure-proces verbetert de beveiliging tegen minimale kosten. De CRA verplicht fabrikanten van digitale producten tot het implementeren van een vulnerability handling-proces.
Bescherming
Publiceer een VDP op de website (security.txt). Wijs een intern team aan voor het afhandelen van meldingen. Communiceer transparant met onderzoekers. Los gemelde kwetsbaarheden tijdig op. Overweeg een bug bounty-programma als aanvulling.
Hoe DEFION helpt
DEFION adviseert bij het opzetten van een responsible disclosure-beleid en VDP. Het team begeleidt bij het afhandelen van ontvangen kwetsbaarheidsrapporten en kan gemelde kwetsbaarheden valideren.