Telco's openen anoniem meldpunt beveiligingslekken

De grote zes telecomaanbieders van Nederland openen ieder een pagina op hun website waar eventueel anoniem beveiligingslekken kunnen worden gemeld.

Beveiligingslekken kunnen voortaan allemaal via een standaard online procedure worden gemeld bij de grote telco's. Zes aanbieders (KPN, T-Mobile, Tele2, Vodafone, UPC en Ziggo) openen allemaal op hun website een soortgelijke plek waar iedereen lekken kan melden. Dat kan desgewenst ook anoniem.

De telco's hopen dat een ontdekt lek op deze manier eerder bij hen zelf wordt gemeld. Bij een correct melding, waarbij de aangever geen misbruik heeft gemaakt van het bewuste lek, wordt geen aangifte gedaan.

De afspraken zijn gemaakt onder de vlag van van ICT~Office. De branchevereniging vindt het tijd voor meer duidelijkheid en standaard voorwaarden bij het melden van beveiligingslekken. "Het ontbrak gewoon aan een eenvoudige manier om melding te kunnen doen. Na gezamenlijk overleg hebben we de afspraak gemaakt om allemaal via dezelfde structuur een meldpunt te maken", legt woordvoerder Michel van Schie van ICT~Office uit.

Meldingen standaard afhandelen
Er bestond tot op heden geen standaardprocedure voor het melden van beveiligingslekken. De zes telco's hebben allemaal ingestemd om binnen twee weken op de eigen website een speciale webpagina in te richten waar ontdekkers terecht kunnen. Daarbij moet de structuur overeenkomen, maar mogen de telco's de benadering zelf invullen. Van Schie: "Het gaat er vooral om dat we meldingen op dezelfde transparante manier afhandelen."

Een aantal telecombedrijven (UPC, KPN en Vodafone) heeft dat inmiddels gedaan. Op de pagina's wordt nadrukkelijk gevraagd om een vermoedelijke beveiligingsprobleem niet te delen met anderen en - nogal overbodig - om er zelf geen actief misbruik van te maken van. Bovendien beloven de telco's die al een pagina hebben staan, dat er bij een correcte melding contact wordt gezocht met en er geen aangifte wordt gedaan.

Deelnemer T-Mobile laat Webwereld weten geen stroom aan meldingen te verwachten. "Het gaat erom de drempel voor dit soort meldingen zo laag mogelijk te houden. Met dit meldpunt is alles op een externe plek gecentraliseerd", aldus woordvoerder Michel van Schie.

Telco's beloven snel contact
Het streven is dat bij een melding binnen enkele dagen contact wordt gezocht met de melder. "We nemen uiterlijk binnen drie dagen contact op met de melder van het beveiligingsprobleem. Er worden afspraken gemaakt over een redelijke herstelperiode en een eventuele gecoördineerde publicatie van het beveiligingsprobleem.", schrijft Vodafone op zijn pagina.

De optie om anoniem een melding achter te laten gaat vooralsnog niet verder dat het advies om een anoniem e-mailadres aan te maken (UPC) of de melding per fysieke post te doen (Vodafone). Een uitzondering is KPN, dat ook graag ziet dat melders hun e-mails versleutelen en hen adviseert hoe dat werkt.

Update 15.54 uur: Reactie T-Mobile toegevoegd.