Het NCSC coördineert op dit moment een multi-party CVD-proces. Zoals wellicht bekend vraagt een multi party CVD-proces een brede, meervoudige afstemming met veel internationale partijen. Rond dit proces is dit keer een verschil van inzicht met enkele ontwikkelaars van RPKI-client software ontstaan. Soms is dat niet te vermijden, hoe jammer dit ook is. Gegeven de belangen die spelen rondom openbaarmaking en gelijktijdige verbeteracties kiest het NCSC er voor om inhoudelijke details over deze kwetsbaarheid maandag 1 november om 15:00 te geven, mede in afstemming met de (meeste) betrokken partijen.
Het NCSC is eerder dit jaar benaderd door onderzoekers die kwetsbaarheden hebben gevonden in RPKI validatie software met het verzoek om hen bij te staan in dit multi-party proces. Het NCSC heeft verschillende partijen op de hoogte gesteld van het bestaan van deze kwetsbaarheden. Samen met de onderzoekers is een tijdslijn vastgesteld waarbij de kwetsbaarheden verholpen zouden kunnen worden in de relevante software.
In dit proces is een afweging gemaakt om de ontwikkelaar van RPKI-client pas later te informeren. Deze afweging is gemaakt op basis van het publieke standpunt van deze ontwikkelaars, namelijk steun voor ‘full disclosure’. De ontwikkelaars van RPKI-client hebben het NCSC laten weten dat zij niet akkoord gaan met betrokkenheid onder embargo.
Het NCSC werkt vanuit haar wettelijke taak vastgelegd in de WBNI. Op basis daarvan en de zorgplicht voor de cyberveiligheid van vitale sectoren is het onvermijdelijk dat er soms andere afwegingen moeten worden gemaakt ten aanzien van kwetsbaarheden dan partijen met een andere rol, zoals ontwikkelaars, graag zouden zien. Het NCSC ziet graag openbaarmaking op een moment dat de oplossing breed voorhanden is. Het NCSC zal de ervaringen van dit traject inbrengen in de lopende discussie rondom multi-party disclosure om zo te kunnen blijven verbeteren en bij te dragen aan nationale en internationale digitale veiligheid.
