Zero days: for a more secure society

Fox-IT’s standpunt ten aanzien van onbekende kwetsbaarheden

Zero days: for a more secure society

De omgang met en het gebruik van zero days is een belangrijke ethische discussie binnen de security community. Fox-IT staat als securitybedrijf midden in deze discussie. De ethische commissie van Fox-IT heeft in het beleid voor maatschappelijk verantwoord ondernemen (MVO) een duidelijk standpunt ten aanzien van zero days opgenomen. De ethische commissie bestaat uit werknemers van Fox-IT en wordt gesteund door de directie.

Een melding over zero days stelt een softwareleverancier in staat om de kwetsbaarheid op te lossen. Dit draagt bij aan een veiligere infrastructuur en daarmee aan een ‘more secure society’. Maar er zijn ook situaties waarin het gebruik van een kwetsbaarheid door een inlichtingen- of opsporingsdienst kan bijdragen aan een lopend onderzoek naar criminelen, kinderpornonetwerken of terroristen. Ook dit draagt bij aan een veiligere samenleving.

Ons standpunt over het opsporen van kwetsbaarheden en levering aan diensten

Als Fox-IT tijdens eigen onderzoek of in het kader van klantcontract een onbekende kwetsbaarheid vindt, dan deelt zij die informatie alleen met de betreffende leverancier en de eventueel betrokken klant. Verder volgt Fox-IT haar beleid ten aanzien van zero days. In geen geval houdt Fox-IT informatie over onbekende kwetsbaarheden geheim, of deelt ze die met  derden. Ook niet met opsporingsdiensten of inlichtingendiensten.

Sinds haar oprichting in 1999 heeft Fox-IT nog nooit in opdracht van een opsporings- of inlichtingendienst naar onbekende kwetsbaarheden gezocht. Maar we sluiten dit in een toekomstige situatie niet uit. Indien er acuut en direct aanwijsbaar gevaar dreigt voor de samenleving en de inlichtingen- en opsporingsdiensten roepen de hulp in van Fox-IT dan zal de ethische commissie van Fox-IT hierover advies geven op basis van een risicoanalyse. De directie zal altijd het advies van de ethische commissie meenemen in haar besluitvorming. Dit is vastgelegd in het MVO-beleid van Fox.

Indien Fox besluit de inlichtingen- en opsporingsdiensten te helpen zal dat altijd vanuit een ethisch standpunt zijn (For a more secure society) en niet vanuit eigen gewin.

Ons beleid met betrekking tot onbekende kwetsbaarheden

Tijdens haar werkzaamheden voor klanten of bij eigen onderzoek stuit Fox-IT regelmatig (zo’n 10 keer per jaar) op (nog) onbekende kwetsbaarheden in hard- of software. Als Fox-IT kwetsbaarheden tijdens eigen onderzoek vindt, zal Fox-IT in alle gevallen altijd direct de leverancier inlichten. Indien Fox-IT ook over exploit code beschikt, wordt die ook gedeeld met de leverancier. Als Fox-IT de kwetsbaarheid ontdekt tijdens werkzaamheden die voor een klant worden uitgevoerd, wordt de klant betrokken bij het proces van disclosure. Fox-IT informeert de klant ook over eventuele risico’s die hij loopt als gevolg van de (nog onbekende) kwetsbaarheid en over mitigerende maatregelen die genomen kunnen worden zolang de kwetsbaarheid niet door de leverancier is opgelost.

Bij het melden van kwetsbaarheden bij leveranciers volgt Fox-IT een procedure van coordinated disclosure, dat wil zeggen dat Fox-IT eerst de leverancier direct benadert met de informatie en deze een redelijke termijn geeft (in de meeste gevallen gaat dit om 30 dagen) om de kwetsbaarheid op te lossen. Als de leverancier niet binnen die termijn overgaat tot het oplossen van de kwetsbaarheid, dan maakt Fox-IT de informatie over de kwetsbaarheid en mitigerende maatregelen publiek.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft