Het Responsible Disclosure-beleid van TLS maakt het voor ontdekkers van kwetsbaarheden in het systeem van de OV-chipkaart onaantrekkelijk om daadwerkelijk meding van zo'n (data)gat te doen. Het beleid staat vol met verregaande restricties en het niet helemaal navolgen daarvan kan leiden tot juridische consequenties.

Een van de "spelregels" die TLS hanteert is dat de kwetsbaarheid niet openbaar mag worden gemaakt. Verder staat er dat "het onderzoeken naar of van een kwetsbaarheid nooit mag leiden tot financiele, juridische, operationele of imagoschade van TLS." Met name dat laatste is een lastige. Imagoschade is nauwelijks te meten en als een gevonden kwetsbaarheid openbaar wordt gemaakt, zelfs na reparatie, zou een beroep op het lijden van imagoschade al snel tot vervolging van de melder kunnen leiden.

Veel strenger dan leidraad van NCSC

TLS zegt zijn RD-beleid gebaseerd te hebben op de leidraad zoals die vorig jaar door het Nationaal Cyber Security Centrum (NCSC) is opgesteld. Daarin wordt (het voorkomen van) imagoschade niet genoemd en staat expliciet opgenomen dat een melder een gevonden lek wel mag openbaren, het liefst in samenspraak met het getroffen bedrijf. Samen kunnen dan termijnen worden afgesproken waarin het bedrijf de kwetsbaarheid repareert.

De vrees voor imagoschade zit er blijkbaar bij TLS goed in, nadat in de afgelopen vijf jaar meerdere malen is aangetoond dat het systeem van de OV-chipkaart niet goed in elkaar steekt. Onder meer journalist Brenno de Winter heeft daarover op Webwereld geschreven.


Big Data loodst schepen Rotterdamse haven binnen