Stel je voor: een onderzoeker vindt vandaag een gat in de software waar jouw bedrijf op draait. De leverancier dicht het gat, rolt stilletjes een update uit en zegt er verder niets over. Geen release note, geen advisory, geen mail. De patch bestaat. Alleen weet jij niet dat je hem moet installeren. En een reparatie die je niet installeert, beschermt niemand.
Dat heet een stille patch, en het is precies het gedrag waar vijf overheids-cyberdiensten net een streep door zetten. Het NCSC en de Amerikaanse CISA riepen samen met drie andere diensten softwaremakers op om stille patches en zwijgcontracten voor onderzoekers achterwege te laten. Op het eerste gezicht een technisch securitydetail. Maar er zit een grotere waarheid onder, en die gaat niet over software maar over vertrouwen: hoe een leverancier omgaat met een kwetsbaarheid is de eerlijkste voorspeller die je hebt van hoe hij zich gedraagt op de dag dat het echt misgaat. En dat gedrag hoort in je contract te staan, niet in zijn brochure.
Een patch die je niet kent, beschermt je niet
Begin bij de stille patch zelf, want daar zit de kern. Een leverancier die een lek dicht zonder het te melden, gokt erop dat niemand het merkt: niet de aanvallers, en niet jij. Het probleem is dat die gok vooral in zijn eigen voordeel uitpakt. Een stille fix wordt veel minder vaak uitgerold dan een lek dat wel openlijk wordt beschreven, simpelweg omdat klanten niet weten dat er iets te installeren valt. De leverancier is gedekt, want technisch is het gat dicht. Jij draait ondertussen maanden door op een versie die je allang had moeten updaten.
Dat gat tussen 'de patch bestaat' en 'de patch staat geinstalleerd' is geen randverschijnsel meer. Het is de voordeur geworden. Uit het jaarlijkse databreach-onderzoek van Verizon blijkt dat inmiddels 31 procent van de inbraken begint met het misbruiken van een softwarekwetsbaarheid, waarmee het gestolen wachtwoorden voorbijstreeft als de meest gebruikte manier om binnen te komen. Aanvallers verschuiven hun aandacht van het misleiden van mensen naar het uitbuiten van systemen. Elke maand dat een fix voor jou verborgen blijft, is een maand dat jij aan de verkeerde kant van dat cijfer staat.
Een keurmerk toont een goede dag, gedrag toont de waarheid
En dan de sprong die ik echt wil maken. De meeste ondernemers beoordelen de veiligheid van een leverancier op de verkeerde documenten. Je krijgt een ISO-certificaat te zien, een samenvatting van een pentest, misschien een SOC 2-rapport. Allemaal nuttig, en allemaal een momentopname van een goede dag. Ze vertellen je hoe het systeem eruitzag toen de auditor langskwam. Ze vertellen je niets over hoe de leverancier reageert als een buitenstaander maanden later een gat vindt dat de auditor miste.
Daar, in die reactie, zit de informatie die je echt wilt. Bedreigt hij de melder met een advocaat? Laat hij hem een zwijgcontract tekenen? Of heeft hij een openbaar meldpunt met een safe harbor, de toezegging dat onderzoek te goeder trouw niet tot juridische stappen leidt? Dat laatste is geen formaliteit. Het is het verschil tussen een leverancier die een kwetsbaarheid ziet als een gezamenlijk probleem en een die hem ziet als een pr-risico dat hij moet indammen.
De lat ligt lager dan je zou hopen. In de wereld van consumenten-IoT heeft bijna zestig procent van de fabrikanten nog altijd geen enkele manier waarop een onderzoeker een lek kan melden, acht jaar nadat die meting begon. Geen meldpunt betekent dat een welwillende hacker die iets vindt, geen kant op kan, en dat de leverancier het liefst helemaal niets hoort. Dat is geen veiligheid, dat is een blinddoek.
Dit patroon ken ik van dichterbij dan alleen securitymeldingen. Ik betoogde eerder dat 'het model is veilig' een belofte is die je AI-leverancier niet kan waarmaken, omdat de garantie leunt op controles die je niet in de hand hebt. Hier geldt hetzelfde. 'Onze software is veilig' is geen eigenschap die je kunt kopen, het is een gedrag dat je kunt controleren. En je controleert het niet door de folder te lezen, maar door te kijken hoe iemand zich gedraagt op zijn slechtste dag.
Om eerlijk te zijn: openheid heeft een prijs
De sterkste tegenwerping tegen dit alles verdient een eerlijk antwoord, want hij klopt gedeeltelijk. Volledige transparantie is niet gratis. Wie elk lek meteen en volledig publiceert, overhandigt aanvallers ook een kaart van waar ze moeten zoeken, soms voordat iedereen heeft kunnen updaten. En van een klein softwarebedrijf zonder eigen securityteam een volwassen meldproces eisen, klinkt als een luxe die het zich niet kan veroorloven. Coordinatie en embargo's bestaan niet voor niets.
Dat is waar, en toch verschuift het de conclusie niet. Let op het woord coordinated in coordinated vulnerability disclosure: de richtlijn vraagt niet om alles onmiddellijk op straat te gooien, maar om afspraken. Een termijn waarbinnen je herstelt en daarna openbaar maakt, een safe harbor voor de melder, erkenning in de advisory. Precies het tegenovergestelde van improviseren onder druk. En de diensten zeggen er expliciet bij dat een maker zonder eigen securityteam de melding kan laten coordineren via een tussenpartij zoals het NCSC. De drempel is dus geen securityafdeling, maar de bereidheid om open te zijn.
De aanname onder de tegenwerping is bovendien twijfelachtig: dat stilte je risico verkleint. Dat doet het zelden. Aanvallers vinden hetzelfde lek vaak zelf, en met AI die kwetsbaarheden nu op schaal en in uren opspoort is die aanname alleen maar zwakker geworden. Een lange stilte beschermt niet jouw systemen, maar de reputatie van de leverancier. Dat is een heel ander belang, en het is niet het jouwe.
Zet het in het contract, niet in de brochure
Als gedrag onder druk de echte indicator is, dan moet je dat gedrag afdwingen op het enige moment dat je nog macht hebt: voordat je tekent. Dat is de kern van wat inkopers 'secure by demand' zijn gaan noemen, de spiegel van secure by design. De gedachte is simpel: beveiliging hoort een contractuele eis te zijn, geen mondelinge verwachting. Je koopt geen software, je koopt een belofte over gedrag, en beloftes horen op papier.
Concreet betekent dat een handvol vragen die je stelt voordat je een handtekening zet, en een handvol clausules die je eist:
- Een openbaar meldpunt. Heeft de leverancier een gepubliceerd beleid waar onderzoekers een lek kunnen melden, met safe harbor? Geen meldpunt is een antwoord op zich.
- Hersteltermijnen per ernst. Leg vast binnen hoeveel tijd een kritiek lek gedicht wordt, en dat je actief bericht krijgt bij een ernstige kwetsbaarheid. Niet een vage toezegging, maar een termijn.
- Geen stille fixes. Eis dat beveiligingsupdates als zodanig herkenbaar zijn, met een CVE-nummer waar de hele keten op kan sturen.
- Geen zwijgbeding. Een leverancier die onderzoekers de mond snoert, vertelt je iets over hoe hij ook met jou zal communiceren als het misgaat.
Dit is geen bureaucratie om de bureaucratie. Het is je enige hefboom, want als het echt misgaat sta jij vooraan. Wordt jouw softwareleverancier gehackt, dan is het datalek juridisch van jou, met een meldplicht en klanten die antwoord willen, ook al zat de fout bij hem. Het contract is het moment waarop je dat risico nog kunt verdelen. Daarna niet meer. Ik heb eerder betoogd dat je beter uitzoekt hoe een leverancier ervoor staat voordat je je aan hem bindt, en zijn omgang met kwetsbaarheden hoort in datzelfde onderzoek thuis.
Wat je eigenlijk koopt
Terug naar die stille patch. Het venijn zit niet in de techniek, maar in wat het verraadt over een houding: liever de schijn van veiligheid dan de waarheid erover. Een leverancier die een gat dicht en zijn mond houdt, heeft in dat ene moment gekozen voor zijn eigen gemoedsrust boven jouw veiligheid. En als hij die keuze maakt bij een lek dat niemand ziet, welke keuze denk je dat hij maakt als het echt spannend wordt?
Dat is waarom deze richtlijn meer is dan een securitydetail. Ze maakt zichtbaar wat je altijd al kocht zonder het te benoemen: niet een stuk software, maar het gedrag van een leverancier op zijn slechtste dag. Coordinated disclosure is de vorm waarin dat gedrag toetsbaar wordt. Vraag ernaar voordat je tekent, en je weet wie er tegenover je zit. Vraag er niet naar, en je komt erachter op het moment dat het je het slechtst uitkomt.
Veelgestelde vragen
Software zonder black box
Ik bouw je software als een maker, van meedenken tot livegang, met de code en de sleutels in jouw handen. Zo hoef je nooit te gokken of een leverancier een lek voor je verzwijgt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
