-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA256@ntisec,Hierbij onze rea

1. -----BEGIN PGP SIGNED MESSAGE-----
2. Hash: SHA256
3.  
4. @ntisec,
5.  
6. Hierbij onze reactie op je uitgebreide post op pastebin.com/Fv4eazzF
7.  
8. De problematiek die je aansnijdt is maatschappelijk zeer relevant en
9. bevindt zich op het snijvlak waar cyber security en fysieke veiligheid
10. elkaar raken.
11.  
12. Gisteren hebben we al kunnen vaststellen dat onze doelen deels overlappen.
13. Dat zit voor jou in je eigen veiligheid en welbehagen, voor ons in de
14. veiligheid van Nederland, en in het directe verlengde daarvan natuurlijk de
15. veiligheid van de burgers: dat zijn we allemaal.
16.  
17. Je wilt aan de kaak stellen dat mogelijk kritieke en kwetsbare systemen
18. vindbaar zijn op internet. Het naar buiten willen brengen van een misstand
19. is heel begrijpelijk en wij zijn daar in principe voor. Sterker nog, wij
20. zijn van mening dit de beveiliging van de betreffende systemen ten goede
21. kan komen, mits die misstanden op een verantwoorde wijze worden onthuld.
22.  
23. Wat ons betreft is het verantwoord om de misstand in concept aan te tonen
24. en de verantwoordelijke organisatie te informeren voordat je details
25. publiceert. Daarbij hoort volgens ons ook dat je de desbetreffende
26. organisatie een realistische termijn geeft om maatregelen te (laten) nemen,
27. voordat je tot publicatie overgaat. Vroegtijdige publicatie zou immers
28. zelfs tot een verhoogd risico kunnen leiden. Anderen (kwaadwillenden) die
29. er eerder nog geen kennis van hadden, zouden misbruik van kwetsbaarheden
30. kunnen maken. Dan help je indirect de verkeerde partij.
31.  
32. Nogmaals: ons doel overlapt.
33.  
34. Wij willen graag samenwerken om dat doel te bereiken. Als je de informatie
35. met ons deelt die je al hebt gevonden hebt en die je eventueel nog gaat
36. vinden, dan kunnen wij onze contacten gebruiken om ervoor te zorgen dat die
37. informatie terecht komt op de juiste plek. Zo kunnen wij de juiste
38. organisaties en personen informeren die daar over gaan. Wij zullen daarbij
39. naar jou toe transparant zijn over de status van elke melding. De credits
40. voor het melden van mogelijke kwetsbaarheden behoren de melder (jou) toe.
41. Wij willen geen credits van kwetsbaarheden die we niet zelf hebben gevonden
42. hebben.
43.  
44. Hoe kritisch een systeem is, of het wel of niet via internet toegankelijk
45. zou moeten zijn en wat dat betekent voor de beveiliging ervan, kan per
46. systeem verschillen. Wij vinden het belangrijk om zorgvuldig te werk te
47. gaan en organisaties te helpen om passende maatregelen te nemen.
48.  
49. Je hebt gelijk als je zegt dat er veel te vinden is en niemand het
50. overzicht heeft. Dat overzicht is als een puzzel met een nog onbekend
51. aantal stukjes. Dit is een probleem dat veel partijen, zowel binnen
52. overheid als bedrijfsleven, zich realiseren. Alleen door goede samenwerking
53. is die plaat compleet te krijgen en wij kunnen jouw hulp daarbij gebruiken.
54.  
55. Ga je de samenwerking met ons aan? Over de exacte invulling van de
56. samenwerking kunnen we natuurlijk nog verder praten. We zijn altijd op zoek
57. naar mensen met kennis, inzicht en goede intentie.
58.  
59. Groet,
60. Nationaal Cyber Security Centrum.
61.  
62. -----BEGIN PGP SIGNATURE-----
63. Version: PGP Desktop 10.1.1 (Build 10)
64. Charset: utf-8
65.  
66. wlcDBQFPCFCrQ+C/3OQykckRCLeVAP9wnaYMHadBoOisEmW4wRUkiACzY3jvOqMA
67. iqNLqGbBogD7B2a+bCHt7mwgdc1ZzdzRGUUUJe+TxAVc0hs2e/tLM4E=
68. =8ILp
69. -----END PGP SIGNATURE-----