Het Nationaal Cyber Security Centrum (NCSC) heeft zes beveiligingsonderzoekers voorgedragen voor de Wall of Fame. Het gaat om cybersecurityexperts die het afgelopen jaar belangrijke kwetsbaarheden aan het licht hebben gebracht. Door ze in de Wall of Fame op te nemen wil de instantie ze bedanken voor hun inzet.
Dat meldt het NCSC op Twitter (1).
Het gaat om Chester van den Bogaard, Ibrahim Durmus, Ivan Iushkevich, Kenny Hietbrink, Oussama Kasmi en Ramon Dunker. Uit de ruim 2.500 aanmeldingen werden zij door het NCSC geselecteerd voor de Wall of Fame (2). Het afgelopen jaar hebben ze één of meerde ‘impactvolle meldingen’ gedaan en zodoende bijgedragen aan de digitale veiligheid van Nederland.
Voor de totstandkoming van de lijst keek het NCSC naar drie kwaliteitseisen. Allereerst moest de melding een grote impact hebben op de digitale veiligheid van Nederland. In de tweede plaats stelde het NCSC hoge eisen aan de kwaliteit van de rapportage van de melding. Tot slot gold, in het geval van meerdere meldingen, dat het percentage goede en kwalitatieve meldingen hoog moest zijn.
Het is de eerste keer dat het Nationaal Cyber Security Centrum een Wall of Fame publiceert. De organisatie probeert met dit initiatief beveiligingsexperts en ethische hackers (3) ertoe aan te zetten om meer kwetsbaarheden in software te melden. Dergelijke meldingen worden ook wel responsible disclosure of Coordinated Vulnerability Disclosure (CVD) genoemd.
Het gaat om kwetsbaarheden in computersoftware of een -systeem die nog niet bekend zijn bij het grote publiek. De ontdekker meldt deze bug aan de ontwikkelaar of organisatie waar deze werd aangetroffen. Deze partij krijgt vervolgens de tijd om het euvel op te lossen. Is het probleem eenmaal verholpen, dan mag degene die het lek ontdekte erover publiceren. Het doel is niet om hier financieel rijker van te worden, maar om de digitale weerbaarheid te vergroten.
Naast de zes beveiligingsexperts heeft het NCSC ook het Dutch Institute of Vulnerability Disclosure (DIVD) opgenomen in de Wall of Fame. Het DIVD is een organisatie die bestaat uit meer dan honderd vrijwillige hackers en cybersecurityexperts die het internet afspeuren naar kwetsbaarheden. Dan moet je denken aan foutieve configuratie-instellingen voor servers, of IT-infrastructuur die op verouderde software draait.
In 2022 waarschuwde het DIVD 176.000 bedrijven voor potentiële veiligheidsrisico’s. Voor deze inspanning kreeg de vrijwilligersorganisatie een eenmalige subsidie van 192.000 euro van het Digital Trust Center (DTC). Als het aan de Tweede Kamer en de minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius ligt, gaat het DIVD een meer prominente rol (4) spelen in de digitale weerbaarheid van ons land.
Chris van ‘t Hof, de directeur van het DIVD, zij blij te zijn met de “grote erkenning”, maar staat niet direct te springen om een meer formele positie in te nemen. Als het DIVD getransformeerd wordt tot een overheidsorganisatie, belemmert dat de mogelijkheden van de vrijwilligers. Overheidsinstanties mogen computersystemen niet zomaar binnendringen, tenzij ze aan strenge voorwaarden voldoen. Particuliere organisaties mogen dat wel, zolang ze dat doen om de beveiliging van de systemen te testen en verbeteren. “Dit voordeel zouden wij verliezen als we een overheidsdienst worden”, aldus Van ’t Hof.
Een ander nadeel is dat het DIVD organisaties niet zomaar mag waarschuwen als ze beveiligingsrisico’s aantreffen. De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt dat alleen partijen die actief zijn in de vitale sector gealarmeerd mogen worden voor relevante en actuele dreigingen. Als particuliere organisatie mag het DIVD zowel vitale als niet-vitale instanties waarschuwen.
Uit ruim 2500 meldingen in 2022 hebben wij de volgende securityonderzoekers geselecteerd voor de Wall of Fame 2022! Het NCSC bedankt hen in het bijzonder voor hun impactvolle meldingen en bijdrage aan een veiliger digitaal NL #ncscwof2022https://t.co/JESuDSHwj4 pic.twitter.com/IdDDNx4BTB
— NCSC-NL (@ncsc_nl) January 27, 2023
https://www.ncsc.nl/contact/kwetsbaarheid-melden/wall-of-fame
https://www.vpngids.nl/veilig-internet/cybercrime/wat-is-een-hacker/
https://www.vpngids.nl/nieuws/kabinet-wil-rol-divd-in-cybersecurity-formaliseren/
