Kwetsbaarheid melden

De gemeente Huizen vindt de beveiliging van haar systemen belangrijk. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Ontdekt u een zwakke plek in één van onze systemen? Dan horen wij dat graag zo snel mogelijk van u. Wij kunnen dan snel gepaste maatregelen nemen.

Melding maken van zwakke plek in onze systemen

U meldt een zwakke plek direct per e-mail bij de Informatiebeveiligingsdienst (IBD): incident@ibdgemeenten.nl. Zet de gemeente daarbij in de CC: security@huizen.nl. Versleutel uw bevindingen zo mogelijk met de PGP-sleutel van de IBD. Zo voorkomt u dat de informatie in de verkeerde handen valt. Stuur ook uw contactgegevens (e-mailadres en telefoonnummer) mee.

Geef voldoende informatie bij melding

Geef bij een melding voldoende informatie om het probleem te reproduceren. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Geef ook mogelijke tips die ons helpen het probleem op te lossen. Beperkt u zich daarbij wel tot verifieerbare feitelijkheden over de geconstateerde kwetsbaarheid.

Wat mag u niet doen om onze systemen te testen?

Het plaatsen van malware op onze systemen.

Het zogeheten “bruteforcen” van toegang tot systemen, behalve als dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet. Dus als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd.

Het gebruikmaken van social engineering, behalve als dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens ernstig tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dus als het op legale wijze te eenvoudig is om hen over te halen om gegevens aan onbevoegden te geven. Zorg er dan voor dat u de betreffende medewerkers zelf niet schaadt. Uw bevindingen mogen alleen zijn gericht op het aantonen van gebreken in de procedures en werkwijze binnen de gemeente en niet op het schaden van individuele medewerkers.

Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het probleem is opgelost.

Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. Dat geldt vooral voor het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.

Het gebruikmaken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem wordt verminderd (DoS-aanvallen).

Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.

Wat gebeurt er na uw melding?

De IBD stuurt u binnen één werkdag een (automatische) ontvangstbevestiging en houdt u op de hoogte van de voortgang van de oplossing.

In onderling overleg wordt bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.

In onderling overleg vermelden we uw naam als de ontdekker van de gemelde kwetsbaarheid. U mag natuurlijk ook anoniem blijven.

De IBD kan u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een eenvoudig ‘dankjewel’ tot een sticker of een T-Shirt. U krijgt in elk geval voor een valide melding een vermelding in de IBD Hall of Fame (tenzij u liever anoniem blijft).

Wat kunt u van de gemeente verwachten?

Door het maken van een melding verklaart u dat u akkoord bent met de afspraken over de Coordinated Vulnerability Disclosure (CVD). De gemeente Huizen behandelt uw melding volgens de afspraken in de CVD.

Dat betekent onder meer dat wij geen strafrechtelijke aangifte tegen u doen of een civielrechtelijke zaak tegen u als u aan de voorwaarden uit de CVD voldoet. Heeft u de voorwaarden wél geschonden? Als u bijvoorbeeld een van de activiteiten heeft gedaan die níét zijn toegestaan om ons systeem te testen. Dan kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.

Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.