Responsible disclosure

 

Ondanks alle aandacht voor de beveiliging van systemen kan het voorkomen dat er toch een zwakke plek, een kwetsbaarheid, is. Als iemand een zwakke plek in één van de systemen heeft gevonden hoor we dat als bestuur graag zo snel mogelijk, zodat de juiste maatregelen kunnen worden getroffen.

Ook al worden kwetsbaarheden zonder kwade bedoelingen bij toeval ontdekt, soms worden ze niet gemeld bij de scholen. Wanneer scholen nadenken over hoe ze omgaan met beveiligingsproblemen en dit duidelijk naar buiten communiceren weten medewerkers en leerlingen beter waar ze aan toe zijn wanneer ze een kwetsbaarheid willen melden. Dit voorkomt onzekerheid en paniek aan beide kanten en beperkt eventuele schade zoveel mogelijk.  

Het responsible disclosure beleid heeft als doel om de drempel tot het melden van deze kwetsbaarheden te verlagen, waardoor het beveiligingsniveau van informatiesystemen en het netwerk verhoogt kan worden en schade voor de schoolbestuurder kan worden beperkt en/of voorkomen. Het responsible disclosure beleid is een oplossing om op een maatschappelijk verantwoorde en effectieve manier om te gaan met het melden van ict-kwetsbaarheden. Het geeft de mogelijkheid om af te spreken dat bij eventueel strafrechtelijk handelen van de melder geen aangifte zal worden gedaan of civielrechtelijke stappen zullen worden ondernomen.
Voor zowel de school als voor de melder schept het beleid duidelijkheid in de verantwoordelijkheden die beide partijen hebben.
De Modellen Responsible Disclosure voor medewerkers en leerlingen zijn op deze site te vinden.