Digitale kwetsbaarheid melden

Wij vinden de veiligheid van onze systemen en processen belangrijk. Toch kan het zijn dat u een kwetsbaarheid (zwakke plek) in een van onze systemen ontdekt. Deze ontvangen wij dan graag van u. Wij nemen dan zo snel mogelijk maatregelen om deze kwetsbaarheid weg te nemen. Wij willen graag met u samenwerken om onze systemen en de gegevens van onze inwoners beter te beschermen. Door het maken van een melding gaat u akkoord met de onderstaande voorwaarden en regels.

For English: Coordinated vulnarability disclosure

Wat doet u als u een kwetsbaarheid ontdekt?

  • Mail dit naar cvd@doetinchem.nl. Versleutel uw bericht met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt. U vindt de PGP-sleutel onderaan deze pagina.
  • Geef voldoende informatie, zodat wij het probleem kunnen vinden, namaken en zo snel mogelijk kunnen oplossen. Uw melding bestaat uit:
    • een IP-adres of de URL van het systeem waar u de kwetsbaarheid heeft ontdekt;
    • een Proof of Concept (PoC), laten zien hoe u bent gekomen tot de kwetsbaarheid;
    • een CVE (als deze beschikbaar is), een lijst waarop bekende kwetsbaarheden uit software staan;
    • een duidelijke omschrijving van de kwetsbaarheid.
  • Doe uw melding zo snel mogelijk nadat u de kwetsbaarheid heeft ontdekt.
  • Deel tips die ons helpen het probleem op te lossen. Geef met feiten uitleg over uw tips en vermijd reclame voor bepaalde (beveiligings)producten.
  • Laat uw contactgegevens achter zodat we met u kunnen samenwerken aan een veilig resultaat. We hebben minimaal één e-mailadres of telefoonnummer nodig.

Wat mag u in ieder geval niet doen?

  • De kwetsbaarheid misbruiken op wat voor wijze dan ook. Bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen. Of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • De kwetsbaarheid delen met anderen of openbaar maken voordat wij de kwetsbaarheid hebben opgelost.
  • Meer handelingen doen dan nodig is om de zwakke plek te laten zien en te melden.
  • Gebruik maken van aanvallen op:
    • fysieke beveiliging,
    • social engineering; het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid.
    • (distributed) denial of service; ervoor zorgen dat de gebruiker geen toegang meer heeft tot een computersysteem.
    • phishing; het oplichten van mensen door middel van internetfraude of spam.
    • malware plaatsen op onze systemen of die van derden.

Wat kunt u van ons verwachten?

  • Wij behandelen uw melding vertrouwelijk. En delen uw persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als de wet ons dat verplicht. Of als wij een rechterlijke uitspraak moeten volgen.
  • Binnen 1 werkdag ontvangt u een automatische ontvangstbevestiging.
  • Binnen 7 werkdagen ontvangt u een (eerste) beoordeling van de melding. En eventueel een verwachte datum voor een oplossing.
  • Wij proberen het probleem binnen 90 dagen op te lossen. We werken als het kan hiermee met u samen. In elk geval laten we u weten wat wij doen. 
  • Als het kan delen wij de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
  • Helpt uw melding echt mee aan het verhogen van de veiligheid van onze systemen? Dan ontvangt u als dank een passende beloning voor uw hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.

U mag ervan uitgaan dat uw melding geen juridische gevolgen voor u heeft als u bovenstaande spelregels volgt. Blijkt toch dat u zich niet aan de spelregels heeft gehouden? Dan kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen. Hierbij beoordelen wij of u gehandeld heeft in oog van maatschappelijk belang, de proportionaliteit en het subsidiariteitsvereiste.

PGP-sleutel

-----BEGIN PGP PUBLIC KEY BLOCK-----

 mDMEZJlYDRYJKwYBBAHaRw8BAQdAlUn6FgaA9fAnlkwvMY1tUaDhMiwhZBULavVt MXqLyoC0F0NWRCA8Y3ZkQGRvZXRpbmNoZW0ubmw+iJkEExYKAEEWIQQZ2hDYjbZJ 5e80EJm1w04k1lQZaAUCZJlYDQIbAwUJA8PCEwULCQgHAgIiAgYVCgkICwIEFgID AQIeBwIXgAAKCRC1w04k1lQZaPW+AP0eu+VDqq4G+zKdJEdv1C2YESGdaVuJ9Ek/ UHiBGOznZAEA5QFyPu7nXFVzftwdHvXKMsHZgUYO6U/bnAs82o2Bwwa4OARkmVgN EgorBgEEAZdVAQUBAQdA+ubjqrhL/a9AcANa3XXGsLC+GJssOLICHXbvbuAMoFUD AQgHiH4EGBYKACYWIQQZ2hDYjbZJ5e80EJm1w04k1lQZaAUCZJlYDQIbDAUJA8PC EwAKCRC1w04k1lQZaIJbAP43SwsQEiTG63KFrPGgaJhoSL595kxT1g74OzFO1Y8y igEAvvZxBoA6eU09cuEw0cJe6w1Rf6Au4x7X7nB2FBXsmA4= =kMzd

-----END PGP PUBLIC KEY BLOCK-----

Heeft u gevonden wat u zocht?