De term is met name belangrijk in context. Het betekent namelijk dat je IT-kwetsbaarheden meldt, zonder kwaadwillend te zijn. Sinds kort is de term verduidelijkt. En daarmee veranderd naar Coordinated Vulnerability Disclosure. Afgekort is dit CVD.
Een Responsible Disclosure melding
Iedereen kan een Responsible Disclosure melding doen. Bijvoorbeeld bij een IT-bedrijf. Of een andere organisatie met een website waarop zich kwetsbaarheden bevinden. Daar hoef je niets voor geregeld te hebben. Als ontvanger van de melding ben je blij, want je hier direct op acteren. Hierdoor voorkom je dat er misbruik wordt gemaakt van de kwetsbaarheid. Maar als melder stel je jezelf kwetsbaar op. Want wellicht ben je strafbaar omdat je een digitaal deurtje hebt geopend, waar je niet aan had mogen zitten..
Juist omdat zo’n Responsible Disclosure een bedrijf enorm kan helpen, is het beleid voor Coordinated Vulnerability Disclosure in het leven geroepen. Dit wordt vaak ingezet door IT-ontwikkelaars of websitehouders. Maar ook door overheidsorganisaties. Het beleid stelt de melder gerust. En geeft duidelijk aan wat de bedoeling is.
Wat is Responsible Disclosure beleid of CVD precies?
Responsible Disclosure beleid of CVD beleid is een eenzijdige verklaring van een organisatie met spelregels voor verantwoorde meldingen. Die spelregels bepalen wat de organisatie onder Responsible Disclosure verstaat. Daarin staat bijvoorbeeld ook aangegeven waar je een melding kunt doen van een kwetsbaarheid. Maar vooral wat de organisatie doet met zo’n Responsible Disclosure melding.
Voor melders is zo’n beleid dus een belangrijke voorwaarde. In een Responsible Disclosure beleid staat namelijk vaak de belangrijkste regel. En dat is dat de organisatie geen aangifte doet als de melder voldoet aan die spelregels. Een melder zal veel eerder geneigd zijn om aan te geven waar hij een kwetsbaarheid heeft gevonden, als dit risico niet meer boven zijn hoofd hangt.
Waarom zou ook jij een CVD moeten hanteren?
Als je het dus belangrijk vindt om informatie over kwetsbaarheden van jouw website of IT-systeem te ontvangen, is het CVD beleid (het Responsible Disclosure beleid) een must have. Het doel van zo’n beleid is om veiligheid van ICT-systemen te verhogen. Dat kan enorm worden bespoedigd door kennis over ICT-kwetsbaarheden onderling met elkaar te delen. Door op tijd kwetsbaarheden te ontdekken en te verhelpen, kan de schade worden beperkt.
Je kunt een Responsible Disclosure melding zelfs belonen. Door in het CVD beleid te beloven dat je een geldbedrag uitkeert of een gratis product ter beschikking stelt, zullen welwillende gebruikers eerder geneigd zijn om de melding te maken. En dat komt natuurlijk in plaats van de kwetsbaarheid gebruiken.