SlideShare uma empresa Scribd logo

"/><img src="a" /></textarea><iframe />"/**/autofocus/**/onfocus="alert('XSSPOSED');" </input><input /> ><input>#alert(document.cookie)

"><img/src=x onerror=confirm(/1/)// "><img/src=x onerror=confirm(/1/)//
"><img/src=x onerror=confirm(/1/)// "><img/src=x onerror=confirm(/1/)//

"/>&lt;img src="a" />&lt;/textarea>&lt;iframe />"/**/autofocus/**/onfocus="alert('XSSPOSED');" &lt;/input>&lt;input /> >&lt;input>#alert(document.cookie)

Engenharia
1 de 3
Baixar para ler offline
Ministerie van Veiligheid en Justitie 1 Pagina 1 van 3 > Retouradres Postbus 16950 2500 BZ Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Datum 28 december 2012 Onderwerp Kader voor Responsible Disclosure Nationaal Coördinator Terrorismebestrijding en Veiligheid Directie Cyber Security Oranjebuitensingel 25 2511 VE Den Haag Postbus 16950 2500 BZ Den Haag www.nctv.nl Ons kenmerk 336692 Bijlagen 1 Bij beantwoording de datum en ons kenmerk vermelden. Wilt u slechts één zaak in uw brief behandelen. In het AO Cyber Security en Veiligheid van Overheidswebsites d.d. 10 april jl. heb ik uw Kamer toegezegd om te komen met een kader voor ‘responsible disclosure’, oftewel een leidraad voor (vitale) organisaties en overheden voor het vaststellen van een beleid voor het op verantwoorde wijze openbaar maken van ICT- kwetsbaarheden in informatiesystemen en softwareproducten. De ‘leidraad om te komen tot een praktijk van responsible dicslosure’ (zie bijlage 1) richt zich tevens op melders die responsible disclosure willen toepassen. Over kwetsbaarheden in ICT en de wijze waarop deze verholpen kunnen worden is binnen de ICT-security-community veel kennis. Ook is er veel wil om deze te delen en er de juiste dingen mee te doen. De samenwerking van publieke en private partijen met de ICT-security-community is daarom van het grootste belang in het kader van het gezamenlijke streven naar cyber security. Ik wil hierbij dan ook nadrukkelijk, in lijn met de tijdens het AO Cyber Security d.d. 6 december jl. door uw Kamer uitgedragen wens, coalities bevorderen met partijen in de ICT-security-community die bereid zijn om bij te dragen aan het realiseren van een veilige en vitale digitale samenleving. Door een aantal organisaties uit onder andere de telecomsector en de financiële sector is reeds een handreiking op de eigen websites gezet voor het doen van meldingen over kwetsbaarheden in informatiesystemen. Deze ontwikkeling juich ik van harte toe. Er bestaan meerdere manieren om kwetsbaarheden in ICT bekend te maken. Een kwetsbaarheid kan volledig publiekelijk bekend worden gemaakt waarbij een veiligheidsrisico groter wordt (full disclosure) of dit kan op een meer besloten manier gebeuren (de verantwoorde of ‘responsible’ disclosure). De responsible disclosure heeft nadrukkelijk mijn voorkeur. De door het Nationaal Cyber Security Centrum (NCSC) opgestelde leidraad dient dan ook om het toepassenvan responsible disclosure bij alle partijen te stimuleren. Bij het opstellen van deze leidraad om te komen tot een praktijk van responsible disclosure zijn in de afgelopen periode zowel beveiligingsonderzoekers als publieke en private partijen betrokken.
Pagina 2 van 3 Uitgangspunten bij responsible disclosure Nationaal Coördinator Terrorismebestrijding en Veiligheid Directie Cyber Security um 28 december 2012 Ons kenmerk 336692 Dat - Eigenaars van informatiesystemen zijn zelf primair verantwoordelijk voor de beveiliging daarvan. Het op verantwoorde wijze melden van kwetsbaarheden kan in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen. Melders hebben daarbij een belangrijke maatschappelijke verantwoordelijkheid om kwetsbaarheden te ontdekken en op verantwoorde wijze te openbaren. Organisaties daarentegen dienen adequaat te reageren op meldingen. - Centraal bij het werken met responsible disclosure staat dan ook het verhelpen van de kwetsbaarheid en het verhogen van de veiligheid van informatiesystemen. Hierin past het voor melders dan ook niet om onnodige schade aan te richten of verder te gaan dan noodzakelijk is voor het aantonen van de kwetsbaarheid. Organisaties dienen hierop te acteren en zo nodig de kwetsbaarheid te verhelpen. Bouwstenen responsible disclosure - Responsible disclosure heeft betrekking op de melder en de organisatie. De organisatie draagt publiekelijk en bijvoorbeeld ondersteund door een formulier op de website, het beleid voor responsible disclosure uit. - De organisatie en melder maken afspraken over de termijn waarop de kwetsbaarheid verholpen zal zijn en over de wijze waarop zij met elkaar zullen communiceren. - De organisatie en de melder maken afspraken over eventuele openbaarmaking en het verder inlichten van de ICT-security-community, zodat anderen lering kunnen trekken uit de kwetsbaarheid in kwestie. - In het door de organisatie vastgestelde beleid van responsible disclosure dient de organisatie zich uit te spreken over het niet doen van aangifte indien conform wordt gehandeld. Deze leidraad laat de geldende strafrechtelijke kaders onverlet en beperkt niet de bevoegdheid van het Openbaar Ministerie om in bepaalde gevallen ambtshalve te vervolgen. Rol NCSC Responsible disclosure ziet primair op de relatie tussen een melder en een betrokken organisatie. In overleg kunnen zij besluiten om het Nationaal Cyber Security Centrum (NCSC) te informeren over een (met name nog niet bekende) kwetsbaarheid, om andere partijen binnen de ICT-security-community te informeren met het oog op het voorkomen of beperken van vervolgschade. Het NCSC is primair gericht op de cyber security van de Rijksoverheid en de vitale sectoren; kwetsbaarheden in deze sectoren hebben voor het NCSC dan ook de prioriteit. Na een duiding van de aard en omvang van de kwetsbaarheid kan het NCSC adequate actie ondernemen. Indien een (potentiële) melder direct in contact treedt met het NCSC, zal het NCSC trachten de melder met de organisatie in contact te brengen. Acties in de komende maanden Het NCSC zal bijgaande leidraad op de website plaatsen en het gebruik hiervan actief stimuleren bij de doelgroep en relaties van het NCSC. Verder zal ik als
Pagina 3 van 3 coördinerend bewindspersoon voor cyber security in gesprek gaan met mijn collega’s binnen de Rijksoverheid om te bevorderen dat responsible disclosure breed binnen de Rijksoverheid wordt toegepast. Tenslotte zal ik in de eerste helft van 2013 in overleg treden met het Openbaar Ministerie over meldingen van kwetsbaarheden in informatiesystemen die conform een beleid voor responsible disclosure worden gedaan. Nationaal Coördinator Terrorismebestrijding en Veiligheid Directie Cyber Security Datum 28 december 2012 Ons kenmerk 336692 Tot slot Het samenwerken aan de veiligheid van informatiesystemen en het verstandig en doeltreffend gebruikmaken van capaciteiten in de samenleving is een belangrijk onderdeel van het kabinetsbeleid op het vlak van cyber security. Het samenwerken via responsible disclosure is daarvan een voorbeeld. Ik zal mij dan ook sterk blijven maken om kwetsbaarheden via responsible disclosure te kunnen verhelpen om daarmee bij te dragen aan een veilige en vitale digitale samenleving. De Minister van Veiligheid en Justitie, I.W. Opstelten

Recomendados

ITM220 J. Galusha - Kronke psi1 stppt03 revised with voice
ITM220 J. Galusha - Kronke psi1 stppt03 revised with voiceITM220 J. Galusha - Kronke psi1 stppt03 revised with voice
ITM220 J. Galusha - Kronke psi1 stppt03 revised with voice
jgalusha
 
Mindful monday: living your truth!
Mindful monday: living your truth!Mindful monday: living your truth!
Mindful monday: living your truth!
Hilary Overcash
 
Alejandro cadena
Alejandro cadenaAlejandro cadena
Alejandro cadena
270219996
 
20 Ideas for your Website Homepage Content
20 Ideas for your Website Homepage Content20 Ideas for your Website Homepage Content
20 Ideas for your Website Homepage Content
Barry Feldman
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome Economy
Helge Tennø
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 

Recomendados

ITM220 J. Galusha - Kronke psi1 stppt03 revised with voice
ITM220 J. Galusha - Kronke psi1 stppt03 revised with voiceITM220 J. Galusha - Kronke psi1 stppt03 revised with voice
ITM220 J. Galusha - Kronke psi1 stppt03 revised with voice
jgalusha
 
Mindful monday: living your truth!
Mindful monday: living your truth!Mindful monday: living your truth!
Mindful monday: living your truth!
Hilary Overcash
 
Alejandro cadena
Alejandro cadenaAlejandro cadena
Alejandro cadena
270219996
 
20 Ideas for your Website Homepage Content
20 Ideas for your Website Homepage Content20 Ideas for your Website Homepage Content
20 Ideas for your Website Homepage Content
Barry Feldman
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome Economy
Helge Tennø
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
Alireza Esmikhani
 

Mais conteúdo relacionado

Destaque

How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

Destaque (20)

How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 

"/>&lt;img src="a" />&lt;/textarea>&lt;iframe />"/**/autofocus/**/onfocus="alert('XSSPOSED');" &lt;/input>&lt;input /> >&lt;input>#alert(document.cookie)

  • 1. Ministerie van Veiligheid en Justitie 1 Pagina 1 van 3 > Retouradres Postbus 16950 2500 BZ Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Datum 28 december 2012 Onderwerp Kader voor Responsible Disclosure Nationaal Coördinator Terrorismebestrijding en Veiligheid Directie Cyber Security Oranjebuitensingel 25 2511 VE Den Haag Postbus 16950 2500 BZ Den Haag www.nctv.nl Ons kenmerk 336692 Bijlagen 1 Bij beantwoording de datum en ons kenmerk vermelden. Wilt u slechts één zaak in uw brief behandelen. In het AO Cyber Security en Veiligheid van Overheidswebsites d.d. 10 april jl. heb ik uw Kamer toegezegd om te komen met een kader voor ‘responsible disclosure’, oftewel een leidraad voor (vitale) organisaties en overheden voor het vaststellen van een beleid voor het op verantwoorde wijze openbaar maken van ICT- kwetsbaarheden in informatiesystemen en softwareproducten. De ‘leidraad om te komen tot een praktijk van responsible dicslosure’ (zie bijlage 1) richt zich tevens op melders die responsible disclosure willen toepassen. Over kwetsbaarheden in ICT en de wijze waarop deze verholpen kunnen worden is binnen de ICT-security-community veel kennis. Ook is er veel wil om deze te delen en er de juiste dingen mee te doen. De samenwerking van publieke en private partijen met de ICT-security-community is daarom van het grootste belang in het kader van het gezamenlijke streven naar cyber security. Ik wil hierbij dan ook nadrukkelijk, in lijn met de tijdens het AO Cyber Security d.d. 6 december jl. door uw Kamer uitgedragen wens, coalities bevorderen met partijen in de ICT-security-community die bereid zijn om bij te dragen aan het realiseren van een veilige en vitale digitale samenleving. Door een aantal organisaties uit onder andere de telecomsector en de financiële sector is reeds een handreiking op de eigen websites gezet voor het doen van meldingen over kwetsbaarheden in informatiesystemen. Deze ontwikkeling juich ik van harte toe. Er bestaan meerdere manieren om kwetsbaarheden in ICT bekend te maken. Een kwetsbaarheid kan volledig publiekelijk bekend worden gemaakt waarbij een veiligheidsrisico groter wordt (full disclosure) of dit kan op een meer besloten manier gebeuren (de verantwoorde of ‘responsible’ disclosure). De responsible disclosure heeft nadrukkelijk mijn voorkeur. De door het Nationaal Cyber Security Centrum (NCSC) opgestelde leidraad dient dan ook om het toepassenvan responsible disclosure bij alle partijen te stimuleren. Bij het opstellen van deze leidraad om te komen tot een praktijk van responsible disclosure zijn in de afgelopen periode zowel beveiligingsonderzoekers als publieke en private partijen betrokken.
  • 2. Pagina 2 van 3 Uitgangspunten bij responsible disclosure Nationaal Coördinator Terrorismebestrijding en Veiligheid Directie Cyber Security um 28 december 2012 Ons kenmerk 336692 Dat - Eigenaars van informatiesystemen zijn zelf primair verantwoordelijk voor de beveiliging daarvan. Het op verantwoorde wijze melden van kwetsbaarheden kan in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen. Melders hebben daarbij een belangrijke maatschappelijke verantwoordelijkheid om kwetsbaarheden te ontdekken en op verantwoorde wijze te openbaren. Organisaties daarentegen dienen adequaat te reageren op meldingen. - Centraal bij het werken met responsible disclosure staat dan ook het verhelpen van de kwetsbaarheid en het verhogen van de veiligheid van informatiesystemen. Hierin past het voor melders dan ook niet om onnodige schade aan te richten of verder te gaan dan noodzakelijk is voor het aantonen van de kwetsbaarheid. Organisaties dienen hierop te acteren en zo nodig de kwetsbaarheid te verhelpen. Bouwstenen responsible disclosure - Responsible disclosure heeft betrekking op de melder en de organisatie. De organisatie draagt publiekelijk en bijvoorbeeld ondersteund door een formulier op de website, het beleid voor responsible disclosure uit. - De organisatie en melder maken afspraken over de termijn waarop de kwetsbaarheid verholpen zal zijn en over de wijze waarop zij met elkaar zullen communiceren. - De organisatie en de melder maken afspraken over eventuele openbaarmaking en het verder inlichten van de ICT-security-community, zodat anderen lering kunnen trekken uit de kwetsbaarheid in kwestie. - In het door de organisatie vastgestelde beleid van responsible disclosure dient de organisatie zich uit te spreken over het niet doen van aangifte indien conform wordt gehandeld. Deze leidraad laat de geldende strafrechtelijke kaders onverlet en beperkt niet de bevoegdheid van het Openbaar Ministerie om in bepaalde gevallen ambtshalve te vervolgen. Rol NCSC Responsible disclosure ziet primair op de relatie tussen een melder en een betrokken organisatie. In overleg kunnen zij besluiten om het Nationaal Cyber Security Centrum (NCSC) te informeren over een (met name nog niet bekende) kwetsbaarheid, om andere partijen binnen de ICT-security-community te informeren met het oog op het voorkomen of beperken van vervolgschade. Het NCSC is primair gericht op de cyber security van de Rijksoverheid en de vitale sectoren; kwetsbaarheden in deze sectoren hebben voor het NCSC dan ook de prioriteit. Na een duiding van de aard en omvang van de kwetsbaarheid kan het NCSC adequate actie ondernemen. Indien een (potentiële) melder direct in contact treedt met het NCSC, zal het NCSC trachten de melder met de organisatie in contact te brengen. Acties in de komende maanden Het NCSC zal bijgaande leidraad op de website plaatsen en het gebruik hiervan actief stimuleren bij de doelgroep en relaties van het NCSC. Verder zal ik als
  • 3. Pagina 3 van 3 coördinerend bewindspersoon voor cyber security in gesprek gaan met mijn collega’s binnen de Rijksoverheid om te bevorderen dat responsible disclosure breed binnen de Rijksoverheid wordt toegepast. Tenslotte zal ik in de eerste helft van 2013 in overleg treden met het Openbaar Ministerie over meldingen van kwetsbaarheden in informatiesystemen die conform een beleid voor responsible disclosure worden gedaan. Nationaal Coördinator Terrorismebestrijding en Veiligheid Directie Cyber Security Datum 28 december 2012 Ons kenmerk 336692 Tot slot Het samenwerken aan de veiligheid van informatiesystemen en het verstandig en doeltreffend gebruikmaken van capaciteiten in de samenleving is een belangrijk onderdeel van het kabinetsbeleid op het vlak van cyber security. Het samenwerken via responsible disclosure is daarvan een voorbeeld. Ik zal mij dan ook sterk blijven maken om kwetsbaarheden via responsible disclosure te kunnen verhelpen om daarmee bij te dragen aan een veilige en vitale digitale samenleving. De Minister van Veiligheid en Justitie, I.W. Opstelten