Coordinated Vulnerability Disclosure
Over Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure)
De gemeente Beverwijk hecht veel belang aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer een zwakke plek in één van onze systemen wordt ontdekt, horen wij dit graag, zodat wij snel passende maatregelen kunnen nemen. Door het maken van een melding zal de gemeente Beverwijk de melding conform onderstaande afspraken afhandelen. Klik hieronder op de knop om de Hall of Fame te bekijken waar de melders worden genoemd.
Wij vragen:
- Mail uw bevindingen naar security@beverwijk.nl. Versleutel de bevindingen indien mogelijk met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperk de melding tot verifieerbare feitelijkheden die betrekking hebben op de geconstateerde kwetsbaarheid en vermijd dat het advies in feite neerkomt op reclame voor specifieke (beveiligings)producten.
- Laat minimaal één e-mailadres of telefoonnummer achter zodat we contact kunnen opnemen om samen te werken aan een veilig resultaat.
- Dien de melding zo snel mogelijk in na ontdekking van de kwetsbaarheid.
Het volgende mag niet:
- Het plaatsen van malware, niet op onze systemen of op die van anderen;
- Het “bruteforcen” van toegang tot systemen, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet, dat wil zeggen als het heel eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd;
- Het gebruik maken van social engineering, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekortschieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen als het op overigens volkomen legale wijze (dus bijvoorbeeld niet via chantage) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken van gegevens aan onbevoegden. Alle zorg wordt dan redelijkerwijs verwacht om de betreffende medewerkers zelf niet te schaden. Uw meldingen zijn ervoor om aan te tonen dat er kennelijke gebreken zijn in de procedures en werkwijze binnen de gemeente Beverwijk en niet op het schaden van individuele personen die bij de gemeente Beverwijk werkzaam zijn;
- Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost;
- Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kan normaliter volstaan worden met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan;
- Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen);
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat wij beloven:
- Indien aan alle bovenstaande voorwaarden is voldaan, zullen wij geen strafrechtelijke aangifte doen en ook geen civielrechtelijke zaak aanspannen.
- Als blijkt dat een van bovenstaande voorwaarden toch is geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen te ondernemen.
- Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
- In onderling overleg kunnen we, indien gewenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijf u anoniem.
- Wij sturen u binnen 2 werkdagen een ontvangstbevestiging en wij houden u op de hoogte van de voortgang van de oplossing.
- De melder krijgt voor een valide melding, in overleg, een vermelding in de Hall of Fame.
- Wij horen het ook graag als u een zwakke plek hebt gevonden in een systeem. Voor systemen van andere eigenaren/beheerders en of leveranciers zal in eerste instantie die organisatie zelf benaderd moeten worden. Als de organisatie niet of niet goed reageert, dan kan de gemeente Beverwijk een rol als intermediair opnemen om samen tot een oplossing te komen.