Kwetsbaarheden melden
Het goed beveiligen van onze systemen is belangrijk. Naast alle maatregelen blijft het mogelijk dat er zwakke plekken in de systemen zijn. Ziet u een zwakke plek? Maak dan een melding. Dan kunnen we het zo snel mogelijk oplossen.
Door het maken van een melding verklaart u zich als melder akkoord met de afspraken die hieronder staan beschreven (Coordinated Vulnerability Disclosur). Vervolgens handelen wij uw melding volgens dezelfde afspraken af.
Melding maken volgens de afspraken:
- Meld de kwetsbaarheid alstublieft zo snel mogelijk na ontdekking.
- Stuur een versleutelde e-mail naar de gemeente. Dit kan op twee manieren:
- U maakt een gratis account aan bij Zivver. Mail de informatie versleuteld naar security@hltsamen.nl.
- Mail naar security@hltsamen.nl. Vermeld dat u een zwakte in het systeem heeft gevonden en vermeld uw telefoonnummer en e-mailadres. Let op! Omschrijf het probleem niet. U ontvangt een versleutelde Zivver e-mail van de gemeente en een code op uw mobiele telefoon. Wanneer u op ‘beantwoorden’ klikt, kunt u vervolgens de zwakke plek en eventuele bijlagen versleuteld versturen.
- Vertel wat u precies doet waardoor de fout naar voren komt, zodat we dit kunnen herhalen. Op deze manier kunnen we het probleem zo snel mogelijk oplossen. Meestal is het internetadres of de URL van het systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij ingewikkelde kwetsbaarheden kan meer aanvullende informatie nodig zijn.
- We luisteren graag naar tips die helpen om het probleem op te lossen. Houd het hierbij op algemene en bekende informatie over de kwetsbaarheid die u gevonden heeft. Voorkom daarbij dat u reclame maakt voor specifieke (beveiligings-)producten.
Wat u mag verwachten:
- Als dank voor uw hulp kunnen we u een beloning bieden. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.
- Indien u volgens bovenstaande stappen te werk gaat, doen we geen strafrechtelijke aangifte tegen u en spannen we geen civielrechtelijke zaak tegen u aan. Als blijkt dat u een bovenstaande voorwaarde heeft geschonden, kunnen we alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- Uw melding behandelen we vertrouwelijk en we delen geen persoonlijke gegevens van een melder met derden zonder toestemming, tenzij we daar volgens de wet of een rechtelijke uitspraak toe verplicht zijn.
- De melding delen we altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen we ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
- In overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- Binnen twee werkdagen ontvangt u een bevestiging.
- Binnen drie werkdagen reageren we met een eerste beoordeling van de melding en (als het mogelijk is) een verwachte datum voor een oplossing.
- Het beveiligingsprobleem lossen we zo snel mogelijk op. Daarbij proberen we u op de hoogte te houden en proberen we het probleem binnen 90 dagen op te lossen. Deze periode is afhankelijk van medewerking van andere partijen.
- In overleg kan worden bepaald of en op welke manier er over het probleem wordt gepubliceerd, nadat het is opgelost.
De volgende handelingen zijn niet toegestaan:
- Het plaatsen van malware op de systemen van de gemeente Lisse of op die van anderen.
- Het zogeheten bruteforcen van toegang tot systemen, behalve wanneer dat noodzakelijk is om te laten zien dat de beveiliging op dit vlak ernstig tekortschiet.
- Het gebruik maken van social engineering, behalve wanneer dit noodzakelijk is om te laten zien dat de beveiliging op dit vlak ernstig tekortschiet.
- Het openbaar maken of aan derden doorgeven van informatie over het beveiligingsprobleem voordat het probleem is opgelost.
- Het uitvoeren van meer stappen dan nodig om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u ook bijvoorbeeld alleen een directory listing noemen. Het veranderen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Het gebruik maken van technieken waarmee de bereikbaarheid en/of bruikbaarheid van het systeem of diensten worden verminderd (DoS-aanvallen).
- Het op wat voor manier dan ook misbruik maken van de kwetsbaarheid.