020 530 0160

Opinie: Responsible Disclosure beleid OV-chipcardbedrijf TLS schiet doel voorbij

René Schoemaker maakt in een artikel op Webwereld redelijk gehakt van het Responsible Disclosure beleid van OV-chipcard exploitant Trans Link Systems (TLS). Reden voor mij om dit beleid ook eens onder de loep te nemen.

TLS meldt op haar website ten aanzien van haar Responsible Disclosure beleid:  Elke dag werken specialisten aan het optimaliseren van de systemen en processen. Toch kunnen kwetsbaarheden ook in onze systemen voorkomen. Ontdekt u kwetsbaarheden in onze systemen of OV-chipkaart? Dan werken we graag samen met u aan een oplossing.” Dat is heel mooi en transparant. Ethische hackers worden uitgenodigd om mee te helpen kwetsbaarheden in de OV- chipcard op te sporen zodat deze kunnen worden gerepareerd. Maar als je even doorscrollt naar blijkt dat TLS vervolgens wel hele strikte voorwaarden stelt, gepresenteerd als “spelregels”, kennelijk om het wat minder heftig te doen voorkomen.

Niet alleen mogen lang niet alle middelen worden benut om kwetsbaarheden bloot te leggen, waardoor het maar de vraag is hoe effectief de hackers te werk kunnen gaan, maar TLS lijkt zich ook grote zorgen te maken over haar eigen positie. De kwetsbaarheden mogen niet openbaar gemaakt worden en  het onderzoeken naar of van een kwetsbaarheid mag nooit leiden tot: financiële, juridische, operationele of imago schade van TLS.”

Uit het artikel van Schoemaker blijkt dat TLS gevraagd is naar de reden van deze stringente voorwaarden, waarbij met name het risico dat de goedwillende hacker aansprakelijk wordt als TLS uit diens inspanningen, juist bedoeld om de OV-chipcard tot een veiliger product te maken, een lastige is. Volgens TLS is haar Responsible Disclosure beleid gebaseerd op het beleid zoals vorig jaar door het Nationaal Cyber Security Centrum (NCSC) is opgesteld. Echter, daarin wordt (het voorkomen van) imagoschade niet genoemd en ook mag een lek gewoon gemeld worden, maar wel het liefst in samenspraak met het getroffen bedrijf. Kortom: dit antwoord verklaart niet waarom TLS deze bepalingen heeft opgenomen. Het is meer waarschijnlijk dat de schrik er bij TLS goed in zit, nu zij de afgelopen jaren al meerdere keren negatief in het nieuws geweest is. Dit vraagt naar mijn mening juist om een open en transparant Responsible Disclosure beleid. Mijn suggestie aan TLS is te doen wat ze zeggen, namelijk het op dit punt betere beleid van de NCSC te volgen!

 

Bron: WebWereld, website TLS
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

publicaties

Gerelateerde artikelen