Digitale kwetsbaarheid melden

Coordinated vulnarability disclosure

Wij vinden de veiligheid van onze systemen en processen belangrijk. Ondanks alle maatregelen die wij nemen kan het voorkomen dat er een kwetsbaarheid is ontstaan. Heeft u een kwetsbaarheid in één van onze systemen ontdekt? Dan ontvangen wij deze graag van u. Wij kunnen dan zo snel mogelijk maatregelen nemen om deze kwetsbaarheid weg te nemen. Wij willen graag met u samenwerken om onze systemen en de gegevens onze inwoners beter te beschermen. Door het maken van een melding gaat u akkoord met de onderstaande voorwaarden en regels. 

Wat doet u als u een kwetsbaarheid ontdekt?

  • Mail dit naar cvd@aalten.nl. Versleutel uw bericht met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt. U vindt de PGP-sleutel in de bijlage onderaan deze pagina.
  • Geef voldoende informatie, zodat wij het probleem kunnen vinden, reproduceren en zo snel mogelijk kunnen oplossen. Uw melding bestaat uit:
    • een IP-adres of de URL van het getroffen systeem;
    • een Proof of Concept (PoC), het laten zien hoe je bent gekomen tot de kwetsbaarheid;
    • een CVE (als deze beschikbaar is), een lijst waarin bekende kwetsbaarheden uit software staan beschreven
    • een duidelijke omschrijving van de kwetsbaarheid.
  • Doe uw melding zo snel mogelijk nadat uw de kwetsbaarheid heeft ontdekt.
  • Deel tips die ons helpen het probleem op te lossen. Geef met feiten uitleg over uw tips en vermijd reclame voor bepaalde (beveiligings) producten.
  • Laat uw contactgegevens achter zodat we met u kunnen samenwerken aan een veilig resultaat. We hebben minimaal één e-mailadres of telefoonnummer nodig.

Wat mag u in ieder geval niet doen?

  • De kwetsbaarheid misbruiken op wat voor wijze dan ook. Bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen. Of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • De kwetsbaarheid delen met anderen of openbaar maken voordat wij de kwetsbaarheid hebben opgelost.
  • Meer handelingen doen dan nodig is om het beveiligingsprobleem te laten zien en te melden.
  • Gebruik maken van aanvallen op:
    • fysieke beveiliging.
    • social engineering, het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid.
    • (distributed) denial of service, ervoor zorgen dat de gebruiker geen toegang meer heeft tot een computersysteem.
    • phishing; het oplichten van mensen door middel van internetfraude.
    • applicaties van derden.
  • Malware te plaatsen op onze systemen of die van derden.

Wat kunt u van ons verwachten?

  • Wij behandelen uw melding vertrouwelijk. En delen uw persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als de wet ons dat verplicht. Of als wij een rechterlijke uitspraak moeten volgen.
  • Binnen 1 werkdag ontvangt u een automatische ontvangstbevestiging.
  • Binnen 7 werkdagen ontvangt u een (eerste) beoordeling van de melding. En eventueel een verwachte datum voor een oplossing.
  • Wij proberen het probleem binnen 90 dagen op te lossen. We werken als het kan hiermee met u samen. In elk geval laten we u weten wat wij doen.
  • Als het kan delen wij de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
  • Helpt uw melding echt mee aan het verhogen van de veiligheid van onze systemen? Dan ontvangt u als dank een passende beloning voor uw hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.

U mag ervan uitgaan dat uw melding geen juridische gevolgen voor u heeft als u bovenstaande spelregels volgt. Blijkt toch dat u zich niet aan de spelregels heeft gehouden? Dan kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen. Hierbij beoordelen wij of u gehandeld heeft in oog van maatschappelijk belang, de proportionaliteit en het subsidiariteitsvereiste.

PGP-sleutel

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=5bVs
-----END PGP PUBLIC KEY BLOCK-----

Heeft u gevonden wat u zocht?