Kwetsbaarheid melden (CVD)

Ontdekt u een zwakke plek (kwetsbaarheid) op de website of in een IT-systeem van de gemeente? Meld dit dan. De gemeente bekijkt het probleem en lost dit zo snel mogelijk op. Zo kan zij haar gegevens en systemen nog beter beschermen. Deze manier van samenwerken heet Coordinated Vulnerability Disclosure (CVD).

Meld een kwetsbaarheid (Deze link gaat naar een externe website)

Wij vragen het volgende van u:

• Meld zo snel mogelijk een kwetsbaarheid via het formulier 'Meld een kwetsbaarheid' via DigiD of eHerkenning.
• Anoniem melden is mogelijk, maar dan kan de gemeente uw melding niet bevestigen of contact met u opnemen. Laat bij voorkeur contactgegevens achter. Zo kunnen we met u in contact treden om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres achter.
• Deel het probleem niet met anderen, totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen te wissen.
• Misbruik het probleem niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
• Geef voldoende informatie om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
• Wij ontvangen graag tips die ons helpen het probleem op te lossen. Vermijd dat uw advies neerkomt op reclame voor andere beveiligingsproducten.

De volgende handelingen zijn niet toegestaan:

• Het plaatsen van malware; niet op onze systemen en niet op die van anderen.
• Het zogeheten 'bruteforcen' van toegang tot systemen (aanvallen met heel veel inlogpogingen).
• Het gebruik maken van 'social engineering' (psychologische manipulatie).
• Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het probleem is opgelost.
• Meer doen dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u meestal volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in een systeem is nooit toegestaan.
• Het gebruikmaken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van systeem of services wordt verminderd ((D)DoS-aanvallen).
• Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.

Wat u mag verwachten:

• Als blijkt dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
• Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder toestemming met derden. Uitzondering is, als wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
• Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
• In overleg met u kunnen we uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
• Wij sturen u direct na uw melding een ontvangstbevestiging met hierin het zaaknummer. Heeft u het formulier anoniem ingevuld, dan krijgt u geen ontvangstbevestiging.
• Wij reageren binnen 3 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing. U krijgt geen reactie van ons als u het formulier anoniem heeft ingevuld.
• In overleg met u kunnen we bepalen of en hoe over het probleem wordt gepubliceerd, nadat het is opgelost, behalve als u het formulier anoniem heeft ingevuld.

Meer informatie en contact

Voor vragen of opmerkingen over de Coordinated Vulnerability Disclosure of het melden van een kwetsbaarheid, kunt u contact opnemen met de CISO medewerker van de gemeente via 077 306 6666.