Coordinated Vulnerability Disclosure
Algemeen
De veiligheid van onze ICT-systemen is erg belangrijk. Hiervoor treffen we veiligheidsmaatregelen. We willen voorkomen dat zwakke plekken bewust misbruikt worden. Ziet u toch een zwakke plek in onze systemen? Laat het weten. U leest op deze pagina hoe u een veilige melding maakt, wat de afspraken over Coordinated Vunerability Disclosure zijn en hoe wij uw melding afhandelen. Als u een melding maakt gaat u automatisch akkoord met de afspraken.
Wij vragen het volgende van u
- Mail uw gevonden ontdekking naar informatiebeveiliging@noordenveld.nl. Als het kan, moet u de ontdekking versleutelen of versturen via de veilige mail. We willen niet dat de informatie in verkeerde handen komt
- Om het probleem na te kunnen bootsen, hebben we genoeg informatie van u nodig. We kunnen het probleem dan zo snel mogelijk oplossen. Meestal hoeft u alleen maar het IP-adres of de URL van het getroffen systeem en een omschrijving naar ons te sturen. Bij een uitgebreide zwakke plek is er misschien meer nodig
- Wij vinden het altijd fijn als we hulp krijgen om een probleem op te lossen. Geef informatie over de zwakke plek die wij kunnen controleren. Maak geen reclame voor andere producten
- Laat uw gegevens achter zodat wij contact met u kunnen opnemen. Laat in ieder geval een e-mailadres of telefoonnummer achter.
- Dien de melding zo snel mogelijk in nadat u de zwakke plek heeft ontdekt
De volgende handelingen zijn niet toegestaan
- U mag geen malware plaatsen op onze systemen of op die van anderen
- U mag de toegang tot het systeem niet ‘bruteforcen’. Dit mag alleen als het echt niet anders kan om te laten zien dat de beveiliging erg slecht is. Dit betekent dat het zeer makkelijk moet zijn om met makkelijk en goedkoop verkrijgbare hardware en software een wachtwoord te kraken. Met dit wachtwoord kan men dan het systeem blootstellen aan gevaar
- Het is alleen toegestaan om social engineering te gebruiken als het niet anders kan. Dit mag alleen als u aantoont dat medewerkers die toegang hebben tot gevoelige gegevens hier niet zorgvuldig mee omgaan. U moet legaal medewerkers hebben overgehaald om dit soort gegevens te geven aan personen die dat niet mogen krijgen. U moet er alles aan doen om deze medewerkers niet te schaden
- Met wat u heeft gevonden mag u alleen aantonen dat de procedures en werkwijzen binnen de gemeente gebreken vertonen. Het is niet toegestaan om medewerkers van de gemeente te schaden
- U mag de informatie van het beveiligingsprobleem niet aan anderen doorgeven voordat het probleem is opgelost
- U mag alleen handelingen uitvoeren die echt nodig zijn om het beveiligingsprobleem aan ons te tonen en aan ons te melden. Vooral bij het verwerken van vertrouwelijke gegevens. U kunt ons een directory lijst geven, in plaats van een complete database te kopiëren. U mag nooit gegevens in het systeem wijzigen of verwijderen
- U mag geen gebruik maken van technieken waarbij het gebruik en/of de beschikbaarheid van het systeem of services verslechterd wordt (DoS-aanvallen)
- U mag geen misbruik maken van de zwakke plek
Wat u mag verwachten
- Als u aan al deze voorwaarden voldoet, doen wij geen strafrechtelijke aangifte. We spannen dan ook geen civielrechtelijke zaak tegen u aan
- Als u zich niet aan deze voorwaarden heeft gehouden, kunnen wij een gerechtelijke zaak tegen u aanspannen
- We behandelen de melding vertrouwelijk. We delen uw persoonlijke gegevens alleen met anderen als u daar toestemming voor heeft gegeven. Ook delen we de gegevens als we dat van de wet moeten doen of als het door een rechterlijke uitspraak verplicht is
- Gemeenten delen hun ervaringen met elkaar. Daarom delen we de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD)
- U blijft anoniem als ontdekker van de zwakke plek. Als u wilt dat wij uw naam vermelden, dan doen wij dat
- Binnen 1 werkdag krijgt u een ontvangstbevestiging
- Binnen 3 werkdagen krijgt u van ons een reactie met een beoordeling van de melding. U krijgt dan misschien ook van ons een verwachte datum wanneer de zwakke plek is opgelost
- We gaan uw gemelde beveiligingsprobleem zo snel mogelijk oplossen. We willen u over het verloop goed op de hoogte houden. We willen er niet langer dan 90 dagen over doen om het probleem op te lossen. We zijn wel vaak afhankelijk van anderen
- Nadat het probleem is opgelost, kunnen we samen beslissen of het probleem bekend gemaakt wordt en hoe we dit communiceren