Twee personen ondertekenen samen een document aan een bureau.
Inzicht17 juli · 17:006 min leestijd

Je leverancier patcht in stilte, en dat is het echte probleem

Een leverancier die een lek stil dicht, kiest zijn eigen gemoedsrust boven jouw veiligheid. Waarom de manier waarop hij met kwetsbaarheden omgaat in je contract hoort, en niet in zijn brochure.

Stel je voor: een onderzoeker vindt vandaag een gat in de software waar jouw bedrijf op draait. De leverancier dicht het gat, rolt stilletjes een update uit en zegt er verder niets over. Geen release note, geen advisory, geen mail. De patch bestaat. Alleen weet jij niet dat je hem moet installeren. En een reparatie die je niet installeert, beschermt niemand.

Dat heet een stille patch, en het is precies het gedrag waar vijf overheids-cyberdiensten net een streep door zetten. Het NCSC en de Amerikaanse CISA riepen samen met drie andere diensten softwaremakers op om stille patches en zwijgcontracten voor onderzoekers achterwege te laten. Op het eerste gezicht een technisch securitydetail. Maar er zit een grotere waarheid onder, en die gaat niet over software maar over vertrouwen: hoe een leverancier omgaat met een kwetsbaarheid is de eerlijkste voorspeller die je hebt van hoe hij zich gedraagt op de dag dat het echt misgaat. En dat gedrag hoort in je contract te staan, niet in zijn brochure.

Een patch die je niet kent, beschermt je niet

Begin bij de stille patch zelf, want daar zit de kern. Een leverancier die een lek dicht zonder het te melden, gokt erop dat niemand het merkt: niet de aanvallers, en niet jij. Het probleem is dat die gok vooral in zijn eigen voordeel uitpakt. Een stille fix wordt veel minder vaak uitgerold dan een lek dat wel openlijk wordt beschreven, simpelweg omdat klanten niet weten dat er iets te installeren valt. De leverancier is gedekt, want technisch is het gat dicht. Jij draait ondertussen maanden door op een versie die je allang had moeten updaten.

Dat gat tussen 'de patch bestaat' en 'de patch staat geinstalleerd' is geen randverschijnsel meer. Het is de voordeur geworden. Uit het jaarlijkse databreach-onderzoek van Verizon blijkt dat inmiddels 31 procent van de inbraken begint met het misbruiken van een softwarekwetsbaarheid, waarmee het gestolen wachtwoorden voorbijstreeft als de meest gebruikte manier om binnen te komen. Aanvallers verschuiven hun aandacht van het misleiden van mensen naar het uitbuiten van systemen. Elke maand dat een fix voor jou verborgen blijft, is een maand dat jij aan de verkeerde kant van dat cijfer staat.

Een keurmerk toont een goede dag, gedrag toont de waarheid

En dan de sprong die ik echt wil maken. De meeste ondernemers beoordelen de veiligheid van een leverancier op de verkeerde documenten. Je krijgt een ISO-certificaat te zien, een samenvatting van een pentest, misschien een SOC 2-rapport. Allemaal nuttig, en allemaal een momentopname van een goede dag. Ze vertellen je hoe het systeem eruitzag toen de auditor langskwam. Ze vertellen je niets over hoe de leverancier reageert als een buitenstaander maanden later een gat vindt dat de auditor miste.

Daar, in die reactie, zit de informatie die je echt wilt. Bedreigt hij de melder met een advocaat? Laat hij hem een zwijgcontract tekenen? Of heeft hij een openbaar meldpunt met een safe harbor, de toezegging dat onderzoek te goeder trouw niet tot juridische stappen leidt? Dat laatste is geen formaliteit. Het is het verschil tussen een leverancier die een kwetsbaarheid ziet als een gezamenlijk probleem en een die hem ziet als een pr-risico dat hij moet indammen.

De lat ligt lager dan je zou hopen. In de wereld van consumenten-IoT heeft bijna zestig procent van de fabrikanten nog altijd geen enkele manier waarop een onderzoeker een lek kan melden, acht jaar nadat die meting begon. Geen meldpunt betekent dat een welwillende hacker die iets vindt, geen kant op kan, en dat de leverancier het liefst helemaal niets hoort. Dat is geen veiligheid, dat is een blinddoek.

Dit patroon ken ik van dichterbij dan alleen securitymeldingen. Ik betoogde eerder dat 'het model is veilig' een belofte is die je AI-leverancier niet kan waarmaken, omdat de garantie leunt op controles die je niet in de hand hebt. Hier geldt hetzelfde. 'Onze software is veilig' is geen eigenschap die je kunt kopen, het is een gedrag dat je kunt controleren. En je controleert het niet door de folder te lezen, maar door te kijken hoe iemand zich gedraagt op zijn slechtste dag.

Om eerlijk te zijn: openheid heeft een prijs

De sterkste tegenwerping tegen dit alles verdient een eerlijk antwoord, want hij klopt gedeeltelijk. Volledige transparantie is niet gratis. Wie elk lek meteen en volledig publiceert, overhandigt aanvallers ook een kaart van waar ze moeten zoeken, soms voordat iedereen heeft kunnen updaten. En van een klein softwarebedrijf zonder eigen securityteam een volwassen meldproces eisen, klinkt als een luxe die het zich niet kan veroorloven. Coordinatie en embargo's bestaan niet voor niets.

Dat is waar, en toch verschuift het de conclusie niet. Let op het woord coordinated in coordinated vulnerability disclosure: de richtlijn vraagt niet om alles onmiddellijk op straat te gooien, maar om afspraken. Een termijn waarbinnen je herstelt en daarna openbaar maakt, een safe harbor voor de melder, erkenning in de advisory. Precies het tegenovergestelde van improviseren onder druk. En de diensten zeggen er expliciet bij dat een maker zonder eigen securityteam de melding kan laten coordineren via een tussenpartij zoals het NCSC. De drempel is dus geen securityafdeling, maar de bereidheid om open te zijn.

De aanname onder de tegenwerping is bovendien twijfelachtig: dat stilte je risico verkleint. Dat doet het zelden. Aanvallers vinden hetzelfde lek vaak zelf, en met AI die kwetsbaarheden nu op schaal en in uren opspoort is die aanname alleen maar zwakker geworden. Een lange stilte beschermt niet jouw systemen, maar de reputatie van de leverancier. Dat is een heel ander belang, en het is niet het jouwe.

Zet het in het contract, niet in de brochure

Als gedrag onder druk de echte indicator is, dan moet je dat gedrag afdwingen op het enige moment dat je nog macht hebt: voordat je tekent. Dat is de kern van wat inkopers 'secure by demand' zijn gaan noemen, de spiegel van secure by design. De gedachte is simpel: beveiliging hoort een contractuele eis te zijn, geen mondelinge verwachting. Je koopt geen software, je koopt een belofte over gedrag, en beloftes horen op papier.

Concreet betekent dat een handvol vragen die je stelt voordat je een handtekening zet, en een handvol clausules die je eist:

  • Een openbaar meldpunt. Heeft de leverancier een gepubliceerd beleid waar onderzoekers een lek kunnen melden, met safe harbor? Geen meldpunt is een antwoord op zich.
  • Hersteltermijnen per ernst. Leg vast binnen hoeveel tijd een kritiek lek gedicht wordt, en dat je actief bericht krijgt bij een ernstige kwetsbaarheid. Niet een vage toezegging, maar een termijn.
  • Geen stille fixes. Eis dat beveiligingsupdates als zodanig herkenbaar zijn, met een CVE-nummer waar de hele keten op kan sturen.
  • Geen zwijgbeding. Een leverancier die onderzoekers de mond snoert, vertelt je iets over hoe hij ook met jou zal communiceren als het misgaat.

Dit is geen bureaucratie om de bureaucratie. Het is je enige hefboom, want als het echt misgaat sta jij vooraan. Wordt jouw softwareleverancier gehackt, dan is het datalek juridisch van jou, met een meldplicht en klanten die antwoord willen, ook al zat de fout bij hem. Het contract is het moment waarop je dat risico nog kunt verdelen. Daarna niet meer. Ik heb eerder betoogd dat je beter uitzoekt hoe een leverancier ervoor staat voordat je je aan hem bindt, en zijn omgang met kwetsbaarheden hoort in datzelfde onderzoek thuis.

Wat je eigenlijk koopt

Terug naar die stille patch. Het venijn zit niet in de techniek, maar in wat het verraadt over een houding: liever de schijn van veiligheid dan de waarheid erover. Een leverancier die een gat dicht en zijn mond houdt, heeft in dat ene moment gekozen voor zijn eigen gemoedsrust boven jouw veiligheid. En als hij die keuze maakt bij een lek dat niemand ziet, welke keuze denk je dat hij maakt als het echt spannend wordt?

Dat is waarom deze richtlijn meer is dan een securitydetail. Ze maakt zichtbaar wat je altijd al kocht zonder het te benoemen: niet een stuk software, maar het gedrag van een leverancier op zijn slechtste dag. Coordinated disclosure is de vorm waarin dat gedrag toetsbaar wordt. Vraag ernaar voordat je tekent, en je weet wie er tegenover je zit. Vraag er niet naar, en je komt erachter op het moment dat het je het slechtst uitkomt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Software zonder black box

Ik bouw je software als een maker, van meedenken tot livegang, met de code en de sleutels in jouw handen. Zo hoef je nooit te gokken of een leverancier een lek voor je verzwijgt.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Verken verder

Gerelateerde artikelen

Het MKB voelt zich veiliger dan ooit. Dat gevoel is inmiddels zelf het risico.
Inzicht
8 min

17 jul 13:04

Het MKB voelt zich veiliger dan ooit. Dat gevoel is inmiddels zelf het risico.

Nederlandse bedrijven meldden vorig jaar minder cyberaanvallen dan in de negen jaar dat dit wordt gemeten.

Passkeys staan straks standaard aan, dus waarom logt je team nog met sms in?
Inzicht
6 min

17 jul 09:00

Passkeys staan straks standaard aan, dus waarom logt je team nog met sms in?

Er ligt een datum in de agenda van elke organisatie die op Microsoft 365 draait, of de beheerder het nu weet of niet.

NCSC en partners publiceren CVD-richtlijn: geen stille patches of zwijgcontracten
Nieuws
4 min

15 jul 18:24

NCSC en partners publiceren CVD-richtlijn: geen stille patches of zwijgcontracten

Vijf overheids-cyberdiensten, waaronder het NCSC en de Amerikaanse CISA, publiceren een gezamenlijke richtlijn voor het melden van kwetsbaarheden. De kernboodschap aan softwaremakers: patch niet stiekem en leg beveiligingsonderzoekers geen zwijgcontract op.

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'
Inzicht
6 min

13 jul 13:01

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'

Een AI-model liep in enkele uren door de best beveiligde, geheime systemen van de Amerikaanse overheid en wees de zwakke plekken aan. Datzelfde model mag jij niet gebruiken.

Microsoft vervangt OpenAI en kroont GPT-5.6 in dezelfde week: je AI-leverancier kiezen is de verkeerde vraag
Inzicht
8 min

11 jul 09:00

Microsoft vervangt OpenAI en kroont GPT-5.6 in dezelfde week: je AI-leverancier kiezen is de verkeerde vraag

In dezelfde week zette Microsoft eigen modellen in Excel om OpenAI-kosten te drukken en maakte het GPT-5.6 voorkeursmodel in Copilot. Geen tegenspraak, maar een strategie: zelfs de grootste inkoper kiest geen AI-leverancier, hij routeert per taak. Waarom welke leverancier de verkeerde vraag is.

Self-hosted is geen garantie voor veilig, het is een verantwoordelijkheid
Inzicht
6 min

10 jul 21:01

Self-hosted is geen garantie voor veilig, het is een verantwoordelijkheid

Nextcloud, het soevereine Microsoft 365-alternatief, lekte 367.000 records via een open database. Niet de software faalde, maar de configuratie eromheen. Zelf hosten verschuift de verantwoordelijkheid naar jou.