Kwetsbaarheid melden
Gemeente Gooise Meren hecht veel waarde aan de beveiliging van ICT-systemen en vertrouwelijkheid van data. Ondanks alle maatregelen is het mogelijk dat er een kwetsbaarheid in een systeem te vinden is. Heeft u een kwetsbaarheid ontdekt? Dan horen we dat graag zo snel mogelijk.
In deze Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure) leest u wat wij van u vragen en wat u van ons kan verwachten.
Deze pagina is voor het laatst gewijzigd op 2 januari 2023.
Wat we van u vragen
- U maakt geen misbruik van de kwetsbaarheid door meer data in te zien of te downloaden dan noodzakelijk is om het lek aan te tonen. Een directory listing is voldoende bewijs voor toegang tot een systeem. Het is dan niet nodig om ook bestanden te openen of kopiëren
- U verwijdert of verandert geen data
- U deelt vertrouwelijke informatie, zoals persoonsgegevens (waaronder BSN-nummers) of bankgegevens niet met anderen
- U deelt de kwetsbaarheid niet met anderen totdat deze is verholpen
- U geeft ons voldoende informatie om de kwetsbaarheid te reproduceren zodat wij die zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres, de URL van het getroffen systeem, een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn
- Heeft u tips die ons helpen het probleem op te lossen? Dan horen wij dat graag van u
Niet toegestane handelingen
Dit beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid te scannen om zwakke plekken te ontdekken. Ook maakt u geen gebruik van aanvallen op fysieke beveiliging of applicaties van (SaaS-)leveranciers. Onderzoek mag niet leiden tot een verstoring van onze (online) diensten.
Voorbeelden van verboden handelingen
- Het aanbrengen van wijzigingen aan in systemen (waaronder OT en IoT) en applicaties van Gooise Meren die wij zelf in beheer hebben of bij leveranciers in beheer zijn (SaaS)
- Het gebruik van (geautomatiseerde) netwerkscans, vulnerability scanners en/of andere security testing-software of tooling
- Het gebruiken van exploits of het plaatsen van malware op onze systemen of op systemen van (SaaS-)leveranciers
- Brute-force aanvallen, DDoS-aanvallen
- Social engineering (waaronder phishing)
- Andere handelingen met negatieve gevolgen voor de beschikbaarheid, integriteit of vertrouwelijkheid van onze systemen en data
Openbaar maken van de kwetsbaarheid
Openbaar maken is pas toegestaan als de melder en gemeente Gooise Meren zijn overeengekomen dat de kwetsbaarheid openbaar gemaakt kan worden, alle betrokkenen goed zijn geïnformeerd en wij hebben aangegeven dat de kwetsbaarheid is opgelost.
Als een kwetsbaarheid niet of moeilijk op te lossen is, of als er hoge kosten mee gemoeid zijn, is de melder alleen gerechtigd de kwetsbaarheid openbaar te maken na uitdrukkelijke toestemming van gemeente Gooise Meren. Wij worden graag betrokken bij een eventuele publicatie over de kwetsbaarheid.
In een publicatie over de gemelde kwetsbaarheid zullen wij, als u dit wenst, uw naam (alias of handle) vermelden als de melder van de kwetsbaarheid.
Wat u van ons mag verwachten
- Wij sturen u een ontvangstbevestiging
- Wij reageren binnen 5 werkdagen met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing
- Wij zullen de kwetsbaarheid zo snel mogelijk oplossen en alle betrokken partijen op de hoogte te houden
- Wij delen de melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat andere gemeenten zo nodig ook maatregelen kunnen nemen
- Wij houden u op de hoogte van de voortgang van het oplossen van de kwetsbaarheid
- Wij gaan vertrouwelijk om met uw persoonlijke gegevens. Zonder uw toestemming delen wij uw gegevens niet met anderen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen
- Als er sprake is van een datalek, melden wij dat bij de Autoriteit Persoonsgegevens (AP). Een relevant beveiligingsincident melden wij bij de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG)
- Anoniem of onder pseudoniem melden is mogelijk. Dit betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek of eventuele publicatie van de kwetsbaarheid
- Als gemeente Gooise Meren besluit om het algemene publiek te informeren over de nieuwe kwetsbaarheid die u ontdekt heeft, wordt u hiervan op de hoogte gebracht
- Als u aan alle voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen. Als blijkt dat u een voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen
- Contactgegevens worden in principe niet doorgegeven aan derde partijen zonder uw toestemming. In sommige gevallen zijn wij wettelijk verplicht uw contactgegevens door te geven. In zo’n geval doen wij al het mogelijk om de informatie vertrouwelijk te laten behandelen
- Vindt u een kwetsbaarheid waarvan wij concluderen dat deze een hoog risico heeft, dan kunnen wij binnen de Europees Economische Ruimte (EER) een t-shirt of sticker als bedankje toesturen
- De melder krijgt voor een valide melding in elk geval een vermelding in de Hall of Fame
Vragen
Heeft u vragen over dit beleid? Stuur dan een e-mail naar ciso@gooisemeren.nl.
Dit beleid is mede geïnspireerd op en deels overgenomen van het voorbeeld op responsibledisclosure.nl.
Hall of fame
Hieronder staan onderzoekers die een belangrijke melding hebben gedaan. Met het delen van kennis over kwetsbaarheden dragen zij direct bij aan de bescherming van gevoelige (persoons)gegevens.
Naam | Profiel |
---|---|
M K Rahul Rao | |
Sahaj Gautam | |
Parth Narula | |
Koen van Hove | |
Floris van Trier |
Melden
Stuur zo snel mogelijk na het ontdekken van de kwetsbaarheid een algemene e-mail zonder inhoudelijke informatie naar ciso@gooisemeren.nl. Wij starten daarna een versleuteld gesprek met u op via Zivver.
Laat contactgegevens achter, zodat we samen met u de kwetsbaarheid snel kunnen oplossen. We accepteren alleen rapporten in het Nederlands of Engels.