De keuze
Elk bedrijf dat software maakt krijgt vroeg of laat te maken met een kwetsbaarheid. De vraag is niet of, maar hoe je ervan hoort.
Optie A: Een security researcher meldt het
- Komt naar jou, niet naar de pers
- Geeft je 90 dagen om te fixen
- Vertelt precies wat er mis is en hoe je het oplost
- Vraagt er niets voor terug
- Niemand buiten jou weet ervan
Optie B: Een aanvaller vindt het
- Je merkt het pas als het te laat is
- AP-melding binnen 72 uur verplicht
- Boete tot 4% van de jaaromzet (AVG)
- Reputatieschade in de media
- Klanten gedupt, vertrouwen weg
- Mogelijk aansprakelijkheid voor schade
En toch behandelen de meeste bedrijven optie A alsof het optie B is.
Het probleem
De meeste Nederlandse organisaties hebben een responsible disclosure beleid dat onderzoekers eerder ontmoedigt dan faciliteert. Dit is geen theoretisch probleem: het leidt ertoe dat kwetsbaarheden niet gemeld worden en langer open blijven. Een melder die afgeschrikt wordt, is een kwetsbaarheid die open blijft voor iemand die niet meldt.
Wat we in de praktijk tegenkomen
1. Beleid geschreven door juristen, niet door engineers
CVD-beleid wordt vrijwel altijd opgesteld door juridische afdelingen of privacy officers. Die denken vanuit risicobeheer: "hoe beschermen we onszelf tegen de melder?" Het resultaat is een document vol voorwaarden en restricties, in plaats van een uitnodiging om samen te werken.
2. Identificatie-eisen die privacy ondermijnen
Veel organisaties eisen persoonlijke gegevens van de melder: telefoonnummers, namen, soms zelfs adresgegevens. Dit terwijl de melder:
- Onbetaald en vrijwillig kwetsbaarheden rapporteert
- Juridisch risico loopt (ondanks toezeggingen van het bedrijf)
- Geen enkele garantie heeft dat zijn gegevens niet worden misbruikt
Sommige bedrijven eisen dat het wachtwoord van een beveiligd document per SMS wordt gedeeld. SMS is aantoonbaar onveilig (SS7-kwetsbaarheden, SIM-swapping) en vereist het delen van een telefoonnummer. De ironie: dit staat soms in het beleid van organisaties wiens eigen encryptie-implementatie fundamenteel gebroken is.
3. Geen security.txt
RFC 9116 definieert een gestandaardiseerde manier om security contactinformatie vindbaar te maken via /.well-known/security.txt. Zonder dat moeten onderzoekers zelf uitzoeken waar ze terecht kunnen, als ze al de moeite nemen.
4. Geen versleutelde communicatie aangeboden
De meeste organisaties bieden geen PGP- of S/MIME-sleutel aan. De melder moet bevindingen met gevoelige technische details (exploits, keys, endpoints) via onversleutelde e-mail versturen. Tegelijkertijd wordt wel verwacht dat de melder zijn eigen communicatie beveiligt.
5. Verouderde beleidsregels
Beleidsregels die jaren niet zijn bijgewerkt (we zien regelmatig beleid uit 2017-2019) weerspiegelen niet de huidige realiteit van security research, tooling en dreigingen.
6. Anoniem melden in de praktijk onmogelijk
Veel beleidsregels staan pseudonieme melding toe op papier, maar maken het in de praktijk onmogelijk door identificatie-eisen elders in het proces.
De asymmetrie
| De onderzoeker | De organisatie |
|---|---|
| Investeert uren tot dagen onbetaald | Ontvangt gratis een professioneel rapport |
| Loopt juridisch risico | Heeft toezegging van geen vervolging (die zij zelf bepalen) |
| Moet persoonlijke gegevens delen | Hoeft alleen een mail te lezen |
| Krijgt zelden een reactie binnen de beloofde termijn | Heeft 90 dagen om te fixen |
| Geen financiële vergoeding | Voorkomt potentieel miljoenen aan schade |
Wat het zou moeten zijn
- security.txt met PGP-sleutel op
/.well-known/security.txt - Anonieme melding als standaard, niet als uitzondering
- PGP-versleutelde communicatie aangeboden door de organisatie
- Geen identificatie-eisen: het rapport is wat telt, niet wie het stuurt
- Erkenning dat de melder aan dezelfde kant staat
- Duidelijke tijdlijnen die ook daadwerkelijk worden nageleefd
- Jaarlijkse review van het beleid
Het spanningsveld tussen melder en ontvanger
De melder draagt alle last, de ontvanger plukt alle vruchten
Er is geen mechanisme dat dit compenseert. Geen vergoeding, geen juridische bescherming vanuit de ontvanger, geen formele erkenning die professioneel iets waard is. Een "bedankje op de wall of fame" is geen compensatie voor juridisch risico. Het huidige model is puur extractief: de organisatie ontvangt gratis consultancy.
De toezegging van niet-vervolging is eenzijdig en vrijblijvend
Het bedrijf bepaalt zelf of je je aan hun regels hebt gehouden. Er is geen onafhankelijke arbiter. Als zij achteraf besluiten dat je te ver bent gegaan (ook al vind jij van niet), sta je er alleen voor. Die toezegging is juridisch niet afdwingbaar.
Het OM kan alsnog vervolgen, zelfs als het bedrijf dat niet wil
Dit is misschien wel het meest perverse aspect van het huidige systeem. Zelfs als een bedrijf expliciet zegt "wij doen geen aangifte en willen geen vervolging", kan het Openbaar Ministerie alsnog ambtshalve vervolgen bij computervredebreuk (artikel 138ab Wetboek van Strafrecht). De wet maakt geen onderscheid tussen een crimineel die inbreekt en een onderzoeker die binnen CVD-kaders werkt.
Dat betekent concreet: je kunt alles goed doen (netjes melden, binnen scope blijven, geen schade veroorzaken, alle regels van het beleid volgen) en alsnog strafrechtelijk vervolgd worden als het OM daar aanleiding toe ziet. De toezegging van het bedrijf beschermt je niet tegen de staat. De enige "bescherming" is de NCSC-leidraad, maar dat is een richtlijn, geen wet. Een officier van justitie is er niet aan gebonden.
Dit is geen theoretisch risico. Het is de reden dat veel ervaren onderzoekers anoniem melden of helemaal niet melden.
Responsebeloftes worden zelden nagekomen
Veel organisaties beloven reactie binnen 5 tot 20 werkdagen. In de praktijk is dit eerder uitzondering dan regel. En als je een herinnering stuurt, word je gezien als lastig, niet als iemand die gratis een beveiligingsprobleem heeft gevonden.
Er is geen escalatiepad
Als een bedrijf niet reageert, of je melding afwijst zonder onderbouwing, heb je geen formeel escalatiepad. Je kunt naar het NCSC, maar die coördineert alleen; ze dwingen niets af. Publiceren na de CVD-termijn is een grijs gebied dat de meeste onderzoekers afschrikt.
Wat er structureel moet veranderen
1. Wettelijke safe harbor voor security researchers
Zoals het Amerikaanse Department of Justice in 2022 heeft aangekondigd: bona fide security research zou expliciet uitgezonderd moeten worden van computervredebreuk-wetgeving. Nederland kent geen dergelijke uitzondering. Artikel 138ab Sr zou een lid moeten krijgen dat onderzoekers beschermt die binnen redelijke CVD-kaders handelen. Zolang dat ontbreekt, vraag je mensen om vrijwillig juridisch risico te lopen voor het algemeen belang.
2. Verplichte responsetermijnen met consequenties
NIS2 verplicht CVD-beleid, maar niet de naleving ervan. Als een organisatie belooft binnen 20 dagen te reageren en dat niet doet, zouden daar consequenties aan moeten zitten. Nu is het een loze belofte.
3. Onafhankelijke triage
Een partij zoals het NCSC of een sectoraal CERT zou als onafhankelijke derde moeten kunnen beoordelen of een onderzoeker binnen de kaders heeft gehandeld. Nu ligt dat oordeel volledig bij de ontvangende partij, dezelfde partij die belang heeft bij het bagatelliseren van de melding.
4. Minimale erkenning en vergoeding
Niet elke organisatie hoeft een bug bounty te hebben, maar een symbolische vergoeding erkent dat de melder waarde levert. Het huidige systeem draait volledig op goodwill. Dat is fragiel.
5. Standaard communicatieprotocol
security.txt + PGP zou de norm moeten zijn, niet de uitzondering. De overheid zou hier het voorbeeld moeten geven, maar zelfs bij veel overheidsorganisaties ontbreekt het.
6. Publicatierecht na termijn
Als de CVD-termijn verloopt en het bedrijf niet heeft gefixt of gecommuniceerd, zou de onderzoeker het recht moeten hebben om te publiceren. Nu is dat een grijs gebied. Het bedrijf heeft geen prikkel om te handelen als de onderzoeker geen drukmiddel heeft.
Juridische context
De Leidraad Coordinated Vulnerability Disclosure van het NCSC en de EU NIS2-richtlijn (2024) verplichten organisaties in bepaalde sectoren om een CVD-beleid te hebben. Maar een beleid hebben en een werkbaar beleid hebben zijn twee verschillende dingen.
Een beleid dat onderzoekers afschrikt is erger dan geen beleid: het geeft de schijn van openheid terwijl het in de praktijk meldingen blokkeert.
Conclusie
Het huidige systeem draait op goodwill van de melder. De dag dat onderzoekers collectief besluiten dat het risico de moeite niet waard is, stopt het systeem. En dat moment komt dichterbij naarmate bedrijven het moeilijker maken om te melden.
Elke drempel die je plaatst tussen een onderzoeker en een melding is een kwetsbaarheid die langer open blijft. Het doel van responsible disclosure is gebruikers beschermen tegen de kwetsbaarheid, niet de organisatie tegen de melder.
← Terug naar SecureScope