Het doel van Coordinated Vulnerability Disclosure (CVD) is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden te delen. Eigenaren van ICT-systemen kunnen dan kwetsbaarheden verhelpen, voordat deze actief misbruikt zullen worden door derden. Het NCSC publiceert daarom vandaag tijdens de One Conference ‘Coordinated Vulnerability Disclosure: de leidraad’. Dit is een aanscherping van de leidraad responsible disclosure uit 2013.
In deze herziene leidraad is extra aandacht voor de menselijke factor bij succesvol CVD-beleid én voor het belang van goede onderlinge communicatie. Met behulp van de leidraad kunnen organisaties hun eigen CVD-beleid vormgeven. Bijvoorbeeld over op welke wijze melders kwetsbaarheden bij de organisatie kunnen aangeven, afspraken over de berichtgeving, oplossingstermijn en eventuele beloning aan melders.
Sinds 2013 heeft het NCSC enkele honderden meldingen ontvangen en verwerkt. Veel Nederlandse organisaties voeren een actief CVD beleid. Dit illustreert de toegevoegde waarde van een CVD-proces bij het verhogen van de digitale weerbaarheid in Nederland.
Coordinated Vulnerability Disclosure: de Leidraad