Zwakke plek in ICT-systeem melden
De gemeente Het Hogeland vindt de beveiliging van haar ICT-systemen erg belangrijk en neemt hiervoor allerlei maatregelen. Ontdek je toch een zwakke plek in onze systemen? Meld het dan zo snel mogelijk. Des te eerder kunnen wij het oplossen. Zo'n melding heet ook wel Coordinated Vulnerability Disclosure.
Wat wij van je vragen
Door een melding te doen verklaar je akkoord te gaan met de onderstaande spelregels. Dit noemen we ons Responsible Disclosure-beleid. Dit beleid is geen uitnodiging om actief en uitgebreid op zoek te gaan naar zwakke plekken in onze systemen.
Geef genoeg informatie
Om ons het probleem te kunnen laten zien hebben we genoeg informatie nodig. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de zwakke plek voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Doe alleen wat nodig is
Doe alleen wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. Vooral wanneer het gaat om vertrouwelijke gegevens waar je door de zwakke plek toegang tot hebt gehad. Je hoeft bijvoorbeeld niet een complete database te kopiƫren. Een directory listing is meestal genoeg.
Tips zijn welkom
Wij ontvangen graag tips die helpen het probleem op te lossen. Houd het wel bij feiten die we kunnen controleren en die slaan op het probleem dat je hebt gemeld. We zijn bijvoorbeeld niet geholpen met een advies om een bepaald (beveiligings-)product te gaan gebruiken.
Wat wij niet accepteren
- Het plaatsen van Malware.
- Het gebruik van Brute-force methoden.
- Het gebruik van Social engineering.
- Het gebruik van DoS aanvallen.
- Het veranderen of verwijderen van gegevens in het systeem.
- Het probleem openbaar maken of doorgeven aan derden voordat het is opgelost.
- Het misbruiken van de zwakke plek.
Wat je van ons mag verwachten
- Als je je aan de bovenstaande spelregels houdt ondernemen wij nooit gerechtelijke stappen tegen jou.
- Wij behandelen je melding vertrouwelijk. Je persoonlijke gegevens delen wij niet met derden zonder jouw toestemming, tenzij de wet of een rechterlijke uitspraak ons verplicht dat te doen.
- Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij dat gemeenten hun ervaringen op dit vlak met elkaar delen.
- Alleen als je dit wilt kunnen we je naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
- Wij lossen het door jou gemelde beveiligingsprobleem zo snel mogelijk op. We streven ernaar om alle betrokkenen goed op de hoogte te houden nooit langer dan 90 dagen te doen over een oplossing.
- In onderling overleg kan worden bepaald of en op welke manier over het probleem wordt gepubliceerd, nadat het is opgelost.