Kwetsbaarheid melden (Responsible disclosure)

Coordinated Vulnerability Disclosure procedure gemeente Hollands Kroon

Als gemeente hechten wij veel belang aan de veiligheid van onze informatiesystemen. Ondanks inspanningen om onze systemen goed te beveiligen, erkennen wij dat geen enkel systeem 100% veilig is. Door menselijk handelen of kwetsbaarheden in software kunnen beveiligingslekken ontstaan. Mocht u een kwetsbaarheid ontdekken, dan waarderen wij het als u dit bij ons meldt. Wij nemen dan passende maatregelen om het probleem te verhelpen.

Door een kwetsbaarheid te melden, stemt u in met onderstaande voorwaarden en garanderen wij dat wij uw melding volgens deze afspraken behandelen.

Hoe een kwetsbaarheid te melden?

Als u een kwetsbaarheid in onze systemen ontdekt, verzoeken wij u:

  1. Meld uw bevindingen via security@hollandskroon.nl of gebruik het contactformulier op onze website.
  2. Geef voldoende details om de kwetsbaarheid te reproduceren, zodat we deze kunnen testen. Een IP-adres of URL is meestal voldoende, maar bij complexere kwetsbaarheden kan aanvullende informatie nodig zijn.
  3. Geef eventueel oplossingssuggesties die direct verband houden met de kwetsbaarheid. Dit wordt gewaardeerd, maar is niet verplicht.
  4. Laat uw contactgegevens achter (minimaal een e-mailadres of telefoonnummer) zodat we indien nodig contact met u kunnen opnemen.
  5. Dien uw melding zo snel mogelijk in na ontdekking van de kwetsbaarheid.

Wat is niet toegestaan?

Bij het onderzoeken en melden van kwetsbaarheden gelden de volgende beperkingen:

  1. Geen malware plaatsen op onze systemen of die van derden.
  2. Geen ongeautoriseerde toegang verkrijgen via brute-force aanvallen of andere technieken die systemen doelbewust compromitteren. Tenzij dit strikt noodzakelijk is om aan te tonen dat de beveiliging van het systeem hier ernstig tekortschiet.
  3. Geen social engineering gebruiken om toegang te verkrijgen tot gevoelige gegevens of medewerkers onder druk te zetten. Tenzij om aan te tonen dat medewerkers met toegang tot gevoelige gegevens ernstig tekortschieten in hun plicht om daarmee zorgvuldig om te gaan. Dat wil zeggen als het op overigens volkomen legale wijze (dus niet via chantage of iets dergelijks) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. U dient daarbij alle zorg te betrachten die redelijkerwijs van u verwacht kan worden om de betreffende medewerkers zelf niet te schaden. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen gemeente Hollands Kroon en niet op het schaden van individuele personen die bij de gemeente werkzaam zijn.
  4. De kwetsbaarheid niet openbaar maken of met derden delen voordat wij het probleem hebben opgelost.
  5. Geen onnodige acties uitvoeren zoals het wijzigen, kopiëren of verwijderen van gegevens. Een screenshot van een foutmelding is voldoende bewijs.
  6. Geen verstoring van systemen veroorzaken, bijvoorbeeld via denial-of-service (DoS) aanvallen.
  7. Geen misbruik maken van de kwetsbaarheid, bijvoorbeeld door verkregen toegang voor eigen gewin te benutten.

Wat mag u van ons verwachten?

Wanneer u zich aan de bovenstaande richtlijnen houdt, kunt u het volgende van ons verwachten:

  1. Geen juridische stappen: Wij zullen geen strafrechtelijke aangifte doen of civiele procedures starten. Als blijkt dat u toch een van bovenstaande voorwaarden heeft geschonden, kunnen wij alsnog besluiten om juridische stappen te ondernemen.
  2. Vertrouwelijke behandeling: Uw melding en persoonlijke gegevens worden niet gedeeld met derden, tenzij wettelijk verplicht.
  3. Samenwerking met de Informatiebeveiligingsdienst (IBD): Wij delen alle meldingen met de IBD en/of het NCSC zodat gemeenten kwetsbaarheden beter kunnen adresseren.
  4. Erkenning als melder: In overleg kunnen we u (met uw toestemming) benoemen als ontdekker van de kwetsbaarheid. Anders blijft u anoniem.
  5. Snelle reactie:
    • Binnen één werkdag ontvangt u een (geautomatiseerde) bevestiging van uw melding.
    • Binnen vijf werkdagen krijgt u een eerste beoordeling en indien mogelijk een indicatie van de oplostermijn.
  6. Oplossing binnen 90 dagen: Wij streven ernaar om de kwetsbaarheid zo snel mogelijk te verhelpen en houden u op de hoogte van de voortgang. Dit is mede afhankelijk van externe leveranciers.
  7. Eventuele publicatie in overleg: Publicatie van de kwetsbaarheid gebeurt alleen na overleg en pas nadat deze is verholpen.

Zie ook