Het Nationaal Cyber Security Centrum NSCS hanteert een responsible disclosure-beleid waarin de organisatie ethische hackers vraagt om meldingen te doen van ontdekte gaten bij het NCSC. Dat wordt ook gedaan, zo meldt de organisatie, en daarop worden gaten gedicht.

T-shirt voor ontdekker

Vorige week ontdekte een hacker nog een cross site-scripting-gat op de site NCSC.nl en maakte daar melding van bij de organisatie. Het gat zou daarna ook meteen zijn gedicht. Mensen die een gat melden bij de organisatie ontvangen, afhankelijk van de kwetsbaarheid en of deze al bekend was, een t-shirt of een bedrag tot 300 euro.

De ontdekker van het XSS-gat krijgt een t-shirt voor de melding en het centrum meldt dat de oplettende melders van in totaal 9 lekken (waarvan 8 in de infrastructuur en één in de video player op de site) een t-shirt ontvangen.

Eerst aankloppen bij eigenaar

Het centrum coördineert de aanpak van kwetsbaarheden bij overheidsorganisaties, maar ook voor aangesloten bedrijven en hoopt daarom dat ontdekkers van gaten ook daarmee aankloppen bij het NCSC. In eerste instantie worden melders doorverwezen naar de eigenaar van het kwetsbare ICT-systeem, maar als de reactie te wensen overlaat, kan de hacker bij het NCSC terecht die vervolgens als intermediair optreedt.

Het responsible disclosure-beleid wordt sinds dit jaar gebruikt bij overheidsinstellingen om zo fatsoenlijk om te kunnen gaan met meldingen over kwetsbaarheden. In het verleden werd daar vaak krampachtig of juist lauw op gereageerd en met het handvest hoopt de overheid dat organisaties het contact met bijvoorbeeld beveiligingsonderzoekers verbeteren en adequaat reageren op meldingen.

Volgens NCSC-woordvoerster Mary Jo van de Velde is dat niet voorgekomen. "Iedere melding [bij bedrijven] wordt netjes afgehandeld."

Reactietermijn

Het NCSC hanteert de standaardtermijn om kwetsbaarheden te verhelpen die in deze richtlijn staan, te weten 60 dagen als het gaat om softwareproblemen. Hardwarefouten kosten vaak meer tijd om te dichten en daarom is de voorgestelde reactietermijn daarvoor zes maanden.

Op de t-shirt staat de tekst "I hacked my government and all I got was this lousy t-shirt". Security-expert Ronald Prins ontving het onderstaande t-shirt. Daarop staat Diginotar vermeld, vanwege 'zijn speciale band met Diginotar', aldus het NCSC.

Update 12.18 uur: Quotes NCSC toegevoegd en informatie over het t-shirt.