Melden van beveiligingskwetsbaarheden
De gemeente Deurne hecht veel belang aan de beveiliging van haar systemen. Toch blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek ontdekt, vernemen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding verklaart u zich akkoord met onderstaande afspraken over Coordinated Vulnerability Disclosure en zal gemeente Deurne uw melding conform onderstaande afspraken afhandelen.
Hoe doet u een melding bij ons?
Volg daarvoor de volgende procedure:
- Gebruik het e-formulier op onze website om ons op de hoogte te brengen van de bevindingen. Dit formulier wordt veilig naar ons verzonden.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Tips die ons helpen het probleem op te lossen zijn welkom. Beperkt u zich tot verifieerbare feitelijkheden over de door u geconstateerde kwetsbaarheid. Vermijd dat uw advies neerkomt op reclame voor specifieke (beveiligings)producten.
- Laat minimaal een e-mailadres of telefoonnummer achter zodat wij contact met u kunnen opnemen.
Zorg ervoor dat:
- U de melding zo snel mogelijk na ontdekking van de kwetsbaarheid doet.
- U de informatie over het beveiligingsprobleem niet met anderen deelt totdat u van ons hoort of het is opgelost.
- U verantwoordelijk omgaat met de kennis over het beveiligingsprobleem door geen handelingen te verrichten, die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
Vermijden van onverantwoorde handelingen
Vermijd altijd de volgende handelingen:
- Het plaatsen van malware.
- Kopiëren, wijzigen of verwijderen van gegevens in een systeem. Een alternatief hiervoor is een directory-listing van een systeem maken.
- Aanbrengen van veranderingen in het systeem.
- Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Gebruik maken van ‘brute force’ om toegang te krijgen tot een systeem.
- Vermijd dit tenzij alleen zo aangetoond kan worden dat de beveiliging op dit vlak ernstig tekort schiet en onder de voorwaarde dat de performance en beschikbaarheid van onze diensten en/of systemen hierdoor niet geschaad worden.
- Gebruik maken van ‘social engineering’.
- Vermijd dit tenzij alleen zo aangetoond kan worden dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan.
- Betracht daarbij alle redelijke zorg om de betreffende medewerkers zelf niet te schaden. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de gemeente en niet op het schaden van individuele personen.
- Het gebruik maken van denial-of-service.
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat u mag van ons verwachten:
- Wanneer u meld volgens de procedure en voorwaarden hierboven, hebben wij geen reden voor juridische acties tegen u. Wij behandelen uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo dragen wij bij aan het delen van ervaringen tussen gemeenten.
- Alleen met uw toestemming vermelden wij uw naam als de ontdekker van de gemelde kwetsbaarheid.
- Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging. Binnen 3 werkdagen reageren wij op een melding met een beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
- Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. Wij zijn daarbij vaak wel afhankelijk van toeleveranciers. Wij houden u de hoogte te houden van de voortgang.
- In overleg bepalen we, na oplossen van het probleem, of en op welke wijze erover wordt gepubliceerd.