DashboardHelpdesk
RegistrerenInloggen
DashboardHelpdeskRegistrerenInloggen

Visuele notule "Coordinated Vulnerability Disclosure"

BESCHRIJVING TEKENING ============================================ “Op donderdag 13 oktober 2022 was er een Cyberwebinar. Deze vond plaats van 15:00 – 16:00 uur en had als titel “Coordinated Vulnerability Disclosure”. Deze titel is op de tekening bovenaan opgenomen. Het webinar werd gegeven als onderdeel van het Overheidsbreed Cyberprogramma. Het logo is onderaan de tekening in het midden opgenomen. En links onderin zie je drie poppetjes getekend, de sprekers die tijdens dit webinar aan het woord kwamen, van links naar rechts: Jeroen van der Ham, Koen Sandbrink-Schuur en Leon van Eijk. Onder de titel van de tekening, die luidt Coordinated Vulnerability Disclosure staat in het klein geschreven “formerly known as Responsible Disclosure. Zo heette dit beleid 10 jaar geleden toen het werd ingesteld. En dat is reden voor een feestje: het beleid bestaat 10 jaar. We zien links op de tekening dan ook het NCSC getekend als een winkeltje met open luifel. Er hangen vlaggetjes onder het luifeltje en aan de toonbank is ook een blauwe zwevende ballon aan een touwtje met tape geplakt. De ballon spreek via een tekstwolkje “Wie vieren feest! De leidraad bestaat 10 jaar”. Achter de toonbank staan 2 mannetjes. De één heeft zijn handen op de toonbank en spreekt “Kom gerust kwetsbaarheden melden”. Het tweede mannetje heeft een hengeltje vast, waaraan een kledinghanger met een t-shirt hangt, wat hij op deze manier ver voor het winkeltje naar buiten hangt. Dit mannetje spreekt “Zo dragen we samen bij aan de Veiligheid van Nederland”. Naast de toonbank, buiten het winkeltje staat, met zijn linkerarm leunend op de toonbank een brochure met armen en benen en een gezichtje. Het is de leidraad Coordinated Vulnerability Disclosure. Hij spreekt “Als je mij volgt zul je niet worden vervolgd”. De sprekers die linksonder zijn getekend (hierboven al genoemd) reageren daar nog op: “CVD is uniek n de wereld: ons OM maakt gebruik van het “opportuniteitsbeginsel””. Terug naar de hengel met het t-shirt. Het t-shirt hangt via een kledinghanger bungelend aan het haakje van de hengel. Het t-shirt heeft de tekst “I hacked the Dutch government and all I got is this lousy t-shirt”. Het t-shirt spreekt “Ik ben zó’n toffe beloning, we worden overspoeld met meldingen. Er rechts naast van getekend komen 2 mannetjes met grijze hoody’s aangesneld, die verliefd naar het t-shirt kijken. Eronder staat geschreven dat dit zogeheten “cyber-onderzoekers” zijn. De linker heeft een laptop met een waarschuwing in het beeldscherm vast in zijn hand en roept al rennend richting het loket “ik heb gewoon ’n shadow-file gevonden, niet normaal man!”. Het mannetje erachter heeft een mobiele telefoon vast met eveneens een belangrijke waarschuwing op het scherm en roept “Ja, en via deze kwetsbaarheid kan ik de sluis Veere hacken”. De kledinghanger heeft ook ogen en een mondje en roept richting de 2 rennende poppetjes “Ho ho ho, deze krijg je niet zomaar, daar vergadert eerst nog een heel team over…”. Terug naar de tekst over het OM dat gebruik maakt van het “opportuniteitsbeginsel”. De derde spreker reageert daar nog op via een tekstwolkje waarin hij zegt “In 10 jaar tijd is het slechts 3 keer misgegaan…”. Ernaast zie je (recht onder de rennende cyber-onderzoekers) een stuk afgeschermd land met prikkeldraad. In tegenstelling tot het land waar de centrale tekening zich afspeelt is dit stukje land niet groen, maar heel donker grijs. Er staat bij geschreven dat dit de criminele zone is. Er staan 2 verbodsborden waarop te lezen is dat je als cyber-onderzoeker geen DDOS-aanval mag uitvoeren om kwetsbaarheid te forceren. En er staat op het andere verbodsbord dat je ook niet -als je al binnen weet te komen bij een organisatie- de inhoud van de informatie mag lezen of kopiëren. Tussen de verkeersborden in staat een hand met uitgestrekte wijsvinger afkeurend heen en weer te bewegen. Hij reageert op de tekst van de spreker dat het in 10 jaar tijd 3x is misgegaan en zegt “Maar toen gingen melders echt een grens over!”. We zien voorts van links uit het NCSC loket een papieren vliegtuigje wegvliegen richter de rechterzijde van de tekening. Het vliegtuigje gaat richting het gebouw van de gemeente dat daar is getekend. Uit het vliegtuigje komt de tekst “Wij leggen contact met organisatie en vragen om de kwetsbaarheid op te lossen…”. Er komt voorts vanuit de gemeente een vliegtuigje terug richting het NCSC met de tekst “Oef, we pakken het op, begin volgende week is het opgelost”. En tegelijkertijd zien we eronder nog een vliegtuigje vanuit de gemeente vertrekken richting de rennende cyber-onderzoekers. Hieruit komt de tekst “Bedankt melder, ook voor de tijdelijke geheimhouding van deze kwestbaarheid… enne, we beloven dat we geen aangifte doen.” Tot slot zien we in de rechterhoek onderaan van de tekening een boormachine getekend met draaiende boor die richting de geven van de organisatie wijst. Hij spreekt “doe regelmatig een pentest (afkorting voor penetratietest)!”. Eronder komt vanuit de rechterkant van de tekening een TXT-documentje de tekening binnen die zegt “En plaats daarna een “security.txt” op je website”. De tekening sluit af met een donker blauwe pijl die van rechts onder uit de tekening komt en wijst naar de boormachine. In de pijl staat met witte tekst geschreven “Als organisatie ben je zelf verantwoordelijk voor de beveiliging van je data en systemen, CVD is aanvullend en NIET in plaats van!”. ========================================

Chats