Zwakke plek in ICT-systeem melden

De gemeente Het Hogeland vindt de beveiliging van haar ICT-systemen erg belangrijk en neemt hiervoor allerlei maatregelen. Ontdekt u toch een zwakke plek in een van onze systemen? Meld het dan zo snel mogelijk aan ons. Des te eerder kunnen wij aan de slag met een oplossing.

Wat wij van u vragen

Door een melding te doen verklaart u akkoord te gaan met de onderstaande spelregels. Dit noemen we ons Responsible Disclosure-beleid. Dit beleid is geen uitnodiging om actief en uitgebreid op zoek te gaan naar zwakke plekken in onze systemen.

Geef genoeg informatie

Om ons het probleem te kunnen laten zien hebben we genoeg informatie nodig. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de zwakke plek voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Doe alleen wat nodig is

Doe alleen wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. Vooral wanneer het gaat om vertrouwelijke gegevens waar u door de zwakke plek toegang tot heeft gehad. U hoeft bijvoorbeeld niet een complete database te kopiƫren. Een directory listing is meestal genoeg.

Tips zijn welkom

Wij ontvangen graag tips die helpen het probleem op te lossen. Houd het wel bij feiten die we kunnen controleren en die slaan op het probleem dat u heeft gemeld. We zijn bijvoorbeeld niet geholpen met een advies om een bepaald (beveiligings-)product te gaan gebruiken.

Wat wij niet accepteren

  • Het plaatsen van Malware.
  • Het gebruik van Brute-force methoden.
  • Het gebruik van Social engineering.
  • Het gebruik van DoS aanvallen.
  • Het veranderen of verwijderen van gegevens in het systeem.
  • Het probleem openbaar maken of doorgeven aan derden voordat het is opgelost.
  • Het misbruiken van de zwakke plek.

Wat u van ons mag verwachten

  • Als u zich aan de bovenstaande spelregels houdt ondernemen wij nooit gerechtelijke stappen tegen u.
  • Wij behandelen uw melding vertrouwelijk. Uw persoonlijke gegevens delen wij niet met derden zonder uw toestemming, tenzij de wet of een rechterlijke uitspraak ons verplicht dat te doen.
  • Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij dat gemeenten hun ervaringen op dit vlak met elkaar delen.
  • Alleen als u dit wilt kunnen we uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. We streven ernaar om alle betrokkenen goed op de hoogte te houden nooit langer dan 90 dagen te doen over een oplossing.
  • In onderling overleg kan worden bepaald of en op welke manier over het probleem wordt gepubliceerd, nadat het is opgelost.