Kwetsbaarheden in websites en applicaties kunnen flinke beveiligingsrisico’s met zich meebrengen. Ze kunnen leiden tot datalekken, verstoringen in bedrijfsprocessen of reputatieschade. Door open te staan voor het ontvangen van meldingen over kwetsbaarheden, geef je ethische hackers meer ruimte om kwetsbaarheden veilig te melden. Dit helpt zorgorganisaties om beveiligingsrisico’s te verkleinen én hun reputatie te versterken.
Het aantal digitale aanvallen op zorginstellingen is in 2024 verder toegenomen. Veel datalekken en incidenten met afpersing met ransomware zijn het gevolg van opportunistische digitale aanvallen, waarbij kwaadwillenden bijvoorbeeld succesvol gebruik maken van kwetsbaarheden in soft- en hardware.
Veel van deze kwetsbaarheden worden niet door interne IT-teams ontdekt, maar juist door externe beveiligingsspecialisten. Elk jaar worden duizenden kwetsbaarheden gevonden in IT-systemen, soms toevallig, soms na gericht onderzoek. In beide gevallen is het belangrijk dat deze informatie veilig en verantwoord bij de juiste organisatie terechtkomt. Cybercriminelen zijn namelijk steeds sneller met het misbruiken van kwetsbaarheden in ICT-systemen nadat ze bekend zijn geworden. Daarom is het belangrijk dat kwetsbaarheden netjes kunnen worden gemeld en pas openbaar worden als ze zijn opgelost. Het proces hiervoor is beter bekend als het CVD-proces.
Coordinated Vulnerability Disclosure
Ethische hackers spelen een belangrijke rol bij het signaleren van digitale kwetsbaarheden. Als zij een kwetsbaarheid ontdekken en dit melden bij de organisatie, kan actie worden ondernomen voordat kwaadwillenden ermee aan de haal gaan. Zo’n melding verloopt idealiter via een vast proces; het Coordinated Vulnerability Disclosure (CVD)-proces. Het is een gestructureerde en vertrouwelijke manier om een kwetsbaarheid te rapporteren. Je wilt hiermee voorkomen dat gevoelige informatie ongecontroleerd verspreid raakt en dat ongepatchte kwetsbaarheden misbruikt kunnen worden.
CVD draait om samenwerking en vertrouwen: de onderzoeker vindt een beveiligingsprobleem in een systeem en meldt dat vervolgens bij de eigenaar. Die krijgt zo de kans om dit op te lossen en de melder wordt erkend en juridisch beschermd, mits alles volgens de afgesproken regels verloopt.
Spelregels
Een CVD-melding moet zorgvuldig gebeuren. Een belangrijke voorwaarde is proportionaliteit: een onderzoeker mag niet meer informatie inzien dan nodig is om de kwetsbaarheid aan te tonen. Als een beveiligingsonderzoeker bijvoorbeeld toegang heeft gekregen tot een medisch dossier, hoeft hij niet het hele systeem door te spitten en alle dossiers te bekijken. Ook is het niet toegestaan om een systeem actief aan te vallen om te bewijzen dat het kwetsbaar is; het constateren van de mogelijkheid is voldoende.
Juridisch gezien kan het aantonen van een kwetsbaarheid onder computervredebreuk vallen. Daarom is het belangrijk dat organisaties en onderzoekers duidelijke afspraken maken. Organisaties leggen deze afspraken vast in een openbaar te raadplegen CVD-beleid. Hierin staat onder andere vermeld dat een melder niet juridisch vervolgd wordt als die zich aan de regels houdt.
Erkenning voor het werk van de onderzoeker hoort daar ook bij. Sommige gerapporteerde kwetsbaarheden komen in aanmerking voor beloningen als onderdeel van bug bounty-programma's. Andere manieren van belonen zijn bijvoorbeeld een bedankje in de vorm van een T-shirt of een vermelding in een Hall of Fame.
Professioneel en transparant
Een Hall of Fame is meer dan een bedankje. Het laat zien dat een organisatie digitale veiligheid serieus neemt en openstaat voor samenwerking. Ook kan het anderen stimuleren om kwetsbaarheden netjes te melden en draagt het bij aan een betrouwbaar imago van de zorgorganisatie in kwestie.
Het succes van CVD hangt af van de manier waarop meldingen worden ontvangen. CVD werkt ideaal als meldingen serieus worden genomen, er snel actie wordt ondernomen en duidelijk wordt gecommuniceerd over de oplossing. Een goed ingericht CVD-proces laat zien dat je als organisatie verantwoordelijkheid neemt voor je systemen en data. Dat past bij een professionele en transparante manier van werken. En – niet onbelangrijk – het helpt om de cyberveiligheid van je organisatie te verbeteren.
CVD in de zorg
Zorgorganisaties die zijn aangesloten bij Z-CERT, het cybersecurity expertisecentrum voor de zorg, kunnen vanaf 1 oktober 2025 gebruikmaken van de Z-CERT Hall of Fame. Deze digitale erelijst wordt beheerd door Z-CERT en staat op hun website. Organisaties die hun CVD-meldingen (deels) via Z-CERT laten afhandelen, hoeven zelf geen Hall of Fame meer bij te houden. Z-CERT kan ook een deel van het CVD-proces overnemen of organisaties hulp bieden bij het inrichten van CVD-beleid. Zo werken we samen aan een veilige digitale zorgomgeving.
Het CVD-proces is opgezet met hulp van Floor Terra. Hij is verantwoordelijk voor het template dat een heleboel organisaties in aangepaste vorm gebruiken. Wil je meer weten over het opzetten van een CVD-proces? Op de website van Z-CERT vind je uitgebreide informatie. Of neem contact op via: info@z-cert.nl.
