Responsible Disclosure
De gemeente Vlissingen vindt de veiligheid van de computersystemen belangrijk. Ondanks onze zorg voor de beveiliging van die systemen, kan het voorkomen dat er toch een zwakke plek is. Bij ‘responsible disclosure’ geeft de ontdekker de organisatie - in dit geval gemeente Vlissingen - tijd om het lek te dichten.
Als u een zwakke plek in onze systemen heeft gevonden, horen wij dat graag. Zo kunnen wij zo snel mogelijk maatregelen treffen.
Zwakke plekken kunt u op 2 manieren ontdekken
- U loopt ergens toevallig tegenaan bij normaal gebruik van een digitale omgeving;
- U doet specifiek uw best om een zwakheid te vinden.
Wij vragen u om:
- De gevonden kwetsbaarheid aan ons te melden via het e-mailadres: security@vlissingen.nl;
- Voldoende informatie te geven om de kwetsbaarheid te reproduceren en de tijd te geven om de kwetsbaarheid te onderzoeken en te verhelpen.
Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn; - Uw contactgegevens achter te laten, zodat we contact met u kunnen opnemen om samen te werken aan een veilig resultaat. Het is ook mogelijk om anoniem een melding te doen;
- Niet op onevenredige wijze te handelen en de gevonden kwetsbaarheid niet te misbruiken. Bijvoorbeeld door:
- gebruik te maken van 'social engineering' of aanvallen op fysieke beveiliging om zich op die wijze toegang te verschaffen tot het systeem;
- een eigen backdoor in een informatiesysteem te plaatsen, om vervolgens daarmee de kwetsbaarheid aan te tonen. Daarmee kan aanvullende schade worden aangericht en onnodige veiligheidsrisico’s worden gelopen;
- een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen;
- gegevens van het systeem te kopiëren, te wijzigen of te verwijderen. Een alternatief hiervoor is het maken van een 'directory listing' van een systeem;
- veranderingen in het systeem aan te brengen;
- herhaaldelijk toegang tot het systeem te verkrijgen;
- gebruik te maken van het zogeheten ‘distributed denial of service’, spam of 'bruteforcen' van toegang tot systemen. Daarbij is geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden;
- niet meer data te downloaden dan nodig is om het lek aan te tonen. Wees zorgvuldig met gegevens van derden door deze gegevens niet in te kijken, te verwijderen of aan te passen.
- Informatie over de kwetsbaarheid niet met anderen te delen. Deel de informatie over de kwetsbaarheid pas, nadat wij het lek gedicht hebben en u daarover bericht hebben. Deel geen vertrouwelijke gegevens die u verkregen heeft. Wis de gegevens direct na het dichten van het lek.
Wij beloven dat wij:
- binnen 5 werkdagen reageren op uw melding met onze beoordeling en de verwachte oplossingsdatum;
- geen strafrechtelijke stappen tegen u ondernemen als u zich aan bovengenoemde voorwaarden houdt;
- uw melding vertrouwelijk behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden delen. Tenzij dat wettelijk gezien of door een gerechtelijke uitspraak nodig is. Melden onder een pseudoniem is mogelijk.
Tot slot
- Afhankelijk van de ernst van het beveiligingsprobleem deelt de gemeente de ontvangen melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo borgen gemeenten dat hun ervaringen op dit vlak worden gedeeld;
- In onderling overleg kan de gemeente als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem;
- De gemeente lost het gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij houden wij u zo goed mogelijk op de hoogte van de voortgang. Wij zijn daarbij vaak wel mede afhankelijk van externe partijen;
- In onderling overleg kan worden bepaald of én op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost;
- Gemeente Vlissingen streeft ernaar alle kwetsbaarheden zo snel mogelijk op te lossen. Nadat de kwetsbaarheid is opgelost en u hierover wilt publiceren, zijn wij graag vooraf betrokken bij deze publicaties.