Coordinated Vulnerability Disclosure
De gemeente Meppel hecht veel waarde aan de beveiliging van haar systemen. Hoewel de gemeente volop aandacht heeft voor de beveiliging van haar ICT-systemen kan er toch een zwakke plek aanwezig zijn. Wanneer u een zwakke plek in één van onze systemen ontdekt dan horen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding verklaart u dat u akkoord gaat met de onderstaande afspraken over Coordinated Vulnerability Disclosure en zal de gemeente Meppel uw melding volgens onderstaande afspraken afhandelen.
Wij vragen u om:
- De gevonden kwetsbaarheid aan ons te melden via het online formulier.
- Voldoende informatie te geven om de kwetsbaarheid te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen.
- Wanneer u dit wilt, contactgegevens achter te laten zodat wij contact met u kunnen opnemen om samen te werken aan het oplossen van de kwetsbaarheid.
- Aan te geven hoe u de kwetsbaarheid hebt gevonden en aan te geven wat gedaan kan worden om de kwetsbaarheid te verhelpen. Beperkt u zich daarbij wel tot verifieerbare feiten die betrekking hebben op de kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings-)producten.
- De melding zo snel mogelijk na ontdekking van de kwetsbaarheid in te dienen.
Wat u van ons mag verwachten:
- Binnen 5 werkdagen reageren wij op uw melding met onze beoordeling en de verwachte oplossingsdatum.
- We zullen uw melding vertrouwelijk behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat wettelijk gezien of door een gerechtelijke uitspraak nodig is. Melden onder een pseudoniem is mogelijk.
- Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op, wij houden u op de hoogte van de voortgang van de oplossing van de kwetsbaarheid.
- In onderling overleg kan bepaald worden of en op welke wijze over het probleem wordt gepubliceerd nadat het is opgelost. In berichtgeving over de kwetsbaarheid vermelden wij – als u dat wenst – uw naam als ontdekker. In alle andere gevallen blijft u anoniem.
- We zullen geen juridische stappen tegen u ondernemen als u zich aan onderstaande voorwaarden houdt. Als blijkt dat u een onderstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- We delen de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD).
Voorwaarden:
- U maakt informatie over het beveiligingsprobleem niet openbaar voordat de kwetsbaarheid is verholpen, u deelt ook geen informatie met derden voordat de kwetsbaarheid is verholpen.
- U verricht geen handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen of te melden.
- U maakt geen gebruik van social engineering of aanvallen op fysieke beveiliging om op die manier toegang te krijgen tot het systeem.
- U plaatst geen eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen.
- U brengt geen veranderingen in het systeem aan.
- U buit de gevonden kwetsbaarheid niet uit, op wat voor manier dan ook.
- U maakt geen gebruik van malware, (distributed) denial of service ((D)DoS-aanvallen), spam of 'bruteforcen' van toegang tot systemen.
- Het op wat voor (andere) manier dan ook misbruik maken van de kwetsbaarheid is strikt verboden.
Wij vragen u om:
- De gevonden kwetsbaarheid aan ons te melden via postbus@meppel.nl.
- Niet op onevenredige wijze te handelen en de gevonden kwetsbaarheid niet te misbruiken. Bijvoorbeeld door:
- gebruik te maken van social engineering of aanvallen op fysieke beveiliging om zich op die wijze toegang te verschaffen tot het systeem.
- een eigen backdoor in een informatiesysteem te plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen. Daarmee kan aanvullende schade worden aangericht en onnodige veiligheidsrisico's worden gelopen.
- een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen.
- gegevens van het systeem te kopiëren, te wijzigen of te verwijderen. Een alternatief hiervoor is het maken van een directory listing van een systeem.
- veranderingen in het systeem aan te brengen.
- herhaaldelijk toegang tot het systeem te verkrijgen.
- gebruik te maken van het zogeheten distributed denial of service, spam of 'bruteforcen' van toegang tot systemen, daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.
- Niet meer data te downloaden dan nodig is om het lek aan te tonen. Wees zorgvuldig met gegevens van derden door deze gegevens niet in te kijken, te verwijderen of aan te passen.
- Informatie over de kwetsbaarheid niet met anderen te delen. Deel de informatie over de kwetsbaarheid pas nadat wij het lek gedicht hebben en u daarover bericht hebben. Deel geen vertrouwelijke gegevens die u verkregen heeft. Wis de gegevens direct na het dichten van het lek.
- Ons voldoende informatie te geven om de kwetsbaarheid te reproduceren en de tijd te geven om de kwetsbaarheid te onderzoeken en te verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wij beloven dat wij:
- Binnen 5 werkdagen reageren op uw melding met onze beoordeling en de verwachte oplossingsdatum.
- Geen strafrechtelijke stappen tegen u ondernemen als u zich aan bovenstaande voorwaarden houdt.
- Uw melding vertrouwelijk behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat wettelijk gezien of door een gerechtelijke uitspraak nodig is. Melden onder een pseudoniem is mogelijk.
- U op de hoogte houden van de voortgang van de oplossing van de kwetsbaarheid. In berichtgeving over de kwetsbaarheid vermelden wij - als u dat wenst - uw naam als ontdekker.
Meer informatie
Gemeente Meppel streeft ernaar alle kwetsbaarheden zo snel mogelijk op te lossen. Nadat de kwetsbaarheid is opgelost en u hierover wilt publiceren, zijn wij graag vooraf betrokken bij deze publicaties.