Coördinated vulnerability disclosure
Gemeente Velsen vindt de beveiliging van haar systemen heel belangrijk. Hier werken we dagelijks aan. Toch kan er een zwakke plek in de systemen zitten. Wanneer u een zwakke plek (kwetsbaarheid) in een van onze systemen ontdekt, horen wij dit graag van u.
Dan kunnen wij dit op de juiste manier verhelpen. Wanneer u een dergelijke melding doet, gaat u automatisch akkoord met de afspraken die hier onder staan. Gemeente Velsen handelt uw melding eveneens volgens onderstaande afspraken af.
De gemeente vraagt het volgende van u:
- Meld de kwetsbaarheid via Zivver.
Zivver is een middel om beveiligd een e-mail te versturen. Dat werkt zo:- Start een veilige uitwisseling met Zivver.
- Vul uw naam en e-mailadres in. Klik op ‘Volgende’.
- Vul bij e-mailadres van de ontvanger kwetsbaarheden@velsen.nl in.
- Vermeld als onderwerp ‘Kwetsbaarheidsmelding’.
- Klik op ‘Uitwisseling starten’.
- U ontvangt een e-mail in uw mailbox. Volg de aanwijzingen in die e-mail.
- Nu kunt u een veilige conversatie beginnen in de Zivver WebApp. U kunt een bericht typen en een bijlage toevoegen. Uw bericht wordt veilig verzonden aan de gemeente.
- Geef voldoende informatie om het probleem na te spelen (reproduceren).
Op die manier kunnen we het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid genoeg. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn. - We ontvangen graag tips die ons helpen het probleem op te lossen.
Beperkt u zich daarbij wel graag tot controleerbare feiten die te maken hebben met de door u geconstateerde kwetsbaarheid. Maak in uw advies alstublieft geen reclame voor specifieke (beveiligings)producten. - Laat contactgegevens achter zodat we contact met u kunnen opnemen om samen te werken aan een veilig resultaat.
Laat minimaal 1 e-mailadres of telefoonnummer achter. - Dien de melding alstublieft zo snel mogelijk in na ontdekking van de kwetsbaarheid.
De volgende handelingen zijn niet toegestaan
- Het plaatsen van malware.
Dit mag niet op onze systemen of op die van anderen. - Het zogeheten ‘bruteforcen’ van toegang tot systemen.
Dit is bij uitzondering toegestaan als dit noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet. Dat wil zeggen als het heel erg eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken. En dat het systeem hiermee ernstig kan worden gecompromitteerd. - Het gebruik maken van social engineering.
Behalve als dit echt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens, in het algemeen (ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen als het op verder volkomen legale wijze te eenvoudig is om hen over te halen om zulke gegevens aan onbevoegden door te geven. Dus niet via chantage of iets dergelijks. U moet daarbij voorzichtig te werk gaan om de betreffende medewerkers zelf niet te schaden. Uw bevindingen zijn alleen gericht op het aantonen van echte gebreken in de procedures en werkwijze binnen de gemeente. En niet op het schaden van individuele personen die bij de gemeente werkzaam zijn. - Het openbaar maken of aan derden verstrekken van informatie over de kwetsbaarheid voordat het probleem is opgelost.
- Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen en te melden.
Heeft u door de kwetsbaarheid toegang gekregen tot (mogelijk) vertrouwelijke gegevens? Dan is het niet toegestaan om deze te verwerken (waaronder het inzien of kopiëren). In plaats van een complete database te kopiëren, kunt u ook volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan. - Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (bijvoorbeeld Dos-aanvallen).
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat u mag verwachten
- De gemeente kan u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een serieus beveiligingsprobleem dat bij ons niet eerder bekend was.
- Als u aan alle bovenstaande voorwaarden voldoet, doet de gemeente geen strafrechtelijke aangifte tegen u en spant de gemeente ook geen civielrechtelijke zaak tegen u aan.
- Als blijkt dat u één of meerdere van bovenstaande voorwaarden toch heeft overtreden, dan kan de gemeente alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- De gemeente behandelt een melding vertrouwelijk. We delen geen persoonlijke gegevens van een melder met derden, zonder toestemming. Uitzondering hierop is als de gemeente daar volgens de wet of een rechterlijke uitspraak toe verplicht is.
- De gemeente deelt de ontvangen melding (alleen de melding, niet uw naam en contactgegevens) altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgt gemeente Velsen ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
- In onderling overleg kan de gemeente -als u dat wilt- uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- Wij sturen u binnen 3 werkdagen een ontvangstbevestiging. We houden u op de hoogte van de voortgang van de oplossing.
- In onderling overleg bepalen we of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.