Aanvaarding rijkwijdte NCSC? - Geachte redactie

donderdag 21 juli 2022 14:07

Acties:

0 Henk 'm!

Breathing security

Topicstarter

nieuws: NCSC mag CVE-nummers toekennen aan kwetsbaarheden
@AverageNL

In totaal zijn er nu zes CNA's in Nederland en een in België.

Deze autoriteiten mogen niet aan alle kwetsbaarheden CVE-nummers toekennen, maar alleen aan kwetsbaarheden die binnen hun domein vallen. Veel bedrijven mogen bijvoorbeeld CVE-nummers aanmaken voor hun eigen software of hardware. In Nederland mag bijvoorbeeld Airbus dat doen, net als Elastic. Daarnaast zijn er instanties zoals het DIVD, dat begin dit jaar als eerste onafhankelijke autoriteit werd aangemerkt als CNA in Nederland.

Valt het NCSC onder deze zes?
Wordt ook het NCSC bedoeld met "deze autoriteiten"?
Betekent dit dan ook dat het NCSC níet aan alle kwetsbaarheden CVE-nummers mag toekennen?
Welke domeinen vallen dan binnen het NCSE?

Of is het NCSE hierin ook onafhankelijk, net als DIVD?

[ Voor 3% gewijzigd door Eagle Creek op 21-07-2022 14:08 ]

~ Information security professional & enthousiast ~ EC Twitter ~

donderdag 21 juli 2022 14:12

Acties:

0 Henk 'm!

AverageNL

Redacteur

[quote]Eagle Creek schreef op donderdag 21 juli 2022 @ 14:07:
nieuws: NCSC mag CVE-nummers toekennen aan kwetsbaarheden

Valt het NCSC onder deze zes?
Wordt ook het NCSC bedoeld met "deze autoriteiten"?

Ja en ja - er staat immers dat er 'nu' zes CNA's zijn in Nederland

Betekent dit dan ook dat het NCSC níet aan alle kwetsbaarheden CVE-nummers mag toekennen?
Welke domeinen vallen dan binnen het NCSE? Of is het NCSE hierin ook onafhankelijk, net als DIVD?

Inderdaad - in de alinea eronder staat in welke gevallen het NCSC CVE-nummers mag registreren:

Bedrijven die zelf geen CVE-nummers mogen registreren, kunnen worden bijgestaan door het NCSC. Het securitycentrum kan ook CVE-nummers uitgeven voor kwetsbaarheden die het zelf vindt. De organisatie kan dat doen voor lekken die 'meerdere systemen of leveranciers treffen en waarbij het NCSC de coördinatie doet'. De organisatie geeft geen CVE-nummers uit voor responsible disclosures die bij de Rijksoverheid binnenkomen.

donderdag 21 juli 2022 14:22

Acties:

0 Henk 'm!

Eagle Creek

Breathing security

Topicstarter

AverageNL schreef op donderdag 21 juli 2022 @ 14:12:
[quote]Eagle Creek schreef op donderdag 21 juli 2022 @ 14:07:
nieuws: NCSC mag CVE-nummers toekennen aan kwetsbaarheden

Inderdaad - in de alinea eronder staat in welke gevallen het NCSC CVE-nummers mag registreren:

[...]

Maar is de scope daarmee dan niet enorm? Er zijn slechts zes instanties in Nederland die mogen registreren, en dan ook nog alleen in hun eigen domein. Dat betekent dat 99,9999% van de bedrijven in Nederland het níet mag. Als het NCSC dat vervolgens voor deze bedrijven wél mag, houdt het praktisch in dat het voor álle bedrijven in Nederland mag registreren en er praktisch dus géen beperking is.

Als de volgende beperking altijd van toepassing is ("de organisatie kan dat doen voor lekken die 'meerdere systemen of leveranciers treffen en waarbij het NCSC de coördinatie doet'"), vind ik hem tekstueel verwarrend. Immers: deze zin staat ná de zin dat het nummers kan uitgeven voor kwetsbaarheden die het zelf vindt.

Dus:

Ik vind met Eagle Creek BV een kwetsbaarheid, meldt dit bij NCSC en zij mogen dit registreren (correct?) (immers, geen uitzonderingen)
NCSE vindt bij mij een kwetsbaarheid en mag dit niet registreren (correct?) (immers, geen coördinatie NCSE)
NCSE vindt bij Schiphol een kwetsbaarheid en mag dit wel registreren (correct?) (immers, coördinatie NCSE)
Schiphol vindt bij Airbus een kwetsbaarheid en mag dit niet registreren (correct?) (immers, valt in scope andere CNA)

~ Information security professional & enthousiast ~ EC Twitter ~