Een digitale kwetsbaarheid melden

Coordinated vulnarability disclosure

Wij vinden de veiligheid van onze systemen en processen belangrijk. Toch kan het zijn dat u een kwetsbaarheid (zwakke plek) in een van onze systemen ontdekt. Deze ontvangen wij dan graag van u. Wij nemen dan zo snel mogelijk maatregelen om deze kwetsbaarheid weg te nemen. Wij willen graag met u samenwerken om onze systemen en de gegevens van onze inwoners beter te beschermen. Door het maken van een melding gaat u akkoord met de onderstaande voorwaarden en regels.

Wat doet u als u een kwetsbaarheid ontdekt?

  • Mail dit naar: cvd@doesburg.nl. Versleutel uw bericht met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt. U vindt de PGP-sleutel onderaan deze pagina.
  • Geef voldoende informatie, zodat wij het probleem kunnen vinden, namaken en zo snel mogelijk kunnen oplossen. Uw melding bestaat uit:
    • een IP-adres of de URL van het systeem waar u de kwetsbaarheid heeft ontdekt;
    • een Proof of Concept (PoC), laten zien hoe u bent gekomen tot de kwetsbaarheid;
    • een CVE (als deze beschikbaar is), een lijst waarop bekende kwetsbaarheden uit software staan;
    • een duidelijke omschrijving van de kwetsbaarheid.
  • Doe uw melding zo snel mogelijk nadat u de kwetsbaarheid heeft ontdekt.
  • Deel tips die ons helpen het probleem op te lossen. Geef met feiten uitleg over uw tips en vermijd reclame voor bepaalde (beveiligings)producten.
  • Laat uw contactgegevens achter zodat we met u kunnen samenwerken aan een veilig resultaat. We hebben minimaal één e-mailadres of telefoonnummer nodig.

Wat mag u in ieder geval niet doen?

  • De kwetsbaarheid misbruiken op wat voor wijze dan ook. Bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen. Of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • De kwetsbaarheid delen met anderen of openbaar maken voordat wij de kwetsbaarheid hebben opgelost.
  • Meer handelingen doen dan nodig is om de zwakke plek te laten zien en te melden.
  • Gebruik maken van aanvallen op:
    • fysieke beveiliging,
    • social engineering; het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid.
    • (distributed) denial of service; ervoor zorgen dat de gebruiker geen toegang meer heeft tot een computersysteem.
    • phishing; het oplichten van mensen door middel van internetfraude of spam.
    • malware plaatsen op onze systemen of die van derden.

Wat kunt u van ons verwachten?

  • Wij behandelen uw melding vertrouwelijk. En delen uw persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als de wet ons dat verplicht. Of als wij een rechterlijke uitspraak moeten volgen.
  • Binnen 1 werkdag ontvangt u een automatische ontvangstbevestiging.
  • Binnen 7 werkdagen ontvangt u een (eerste) beoordeling van de melding. En eventueel een verwachte datum voor een oplossing.
  • Wij proberen het probleem binnen 90 dagen op te lossen. We werken als het kan hiermee met u samen. In elk geval laten we u weten wat wij doen.
  • Als het kan delen wij de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
  • Helpt uw melding echt mee aan het verhogen van de veiligheid van onze systemen? Dan ontvangt u als dank een passende beloning voor uw hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.

U mag ervan uitgaan dat uw melding geen juridische gevolgen voor u heeft als u bovenstaande spelregels volgt. Blijkt toch dat u zich niet aan de spelregels heeft gehouden? Dan kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen. Hierbij beoordelen wij of u gehandeld heeft in oog van maatschappelijk belang, de proportionaliteit en het subsidiariteitsvereiste.

Report a digital vulnerability

Coordinated vulnarability disclosure

We consider the safety of our systems and processes important. However, you may discover a vulnerability (weak spot) in one of our systems. We would like to receive this from you. We will then take measures as quickly as possible to remove this vulnerability. We would like to work with you to better protect our systems and our residents' data. By making a report you agree to the terms and conditions below.

What do you do if you discover a vulnerability?

  • Email this to: cvd@doesburg.nl. Encrypt your message with our PGP key (PGP-sleutel) to prevent the information from falling into the wrong hands. You will find the PGP key at the bottom of this page.
  • Provide enough information so that we can find the problem, verify it and solve it as quickly as possible. Your report consists of:
    • an IP address or the URL of the system where you discovered the vulnerability;
    • a Proof of Concept (PoC), showing how you arrived at the vulnerability;
    • a CVE (if available), a list of known software vulnerabilities;
    • a clear description of the vulnerability.
  • Make your report as soon as possible after discovering the vulnerability.
  • Share tips that will help us solve the problem. Explain your tips with facts and avoid advertising for certain (security) products.
  • Please leave your contact details so we can work with you to ensure a safe outcome. We require at least one email address or telephone number.

What should you definitely not do?

  • Exploit the vulnerability in any way. For example, by downloading more data than is necessary to demonstrate the leak. Or to view, delete or adjust data from third parties.
  • Share the vulnerability with others or make it public before we have resolved the vulnerability.
  • Do more actions than necessary to show and report the weakness.
  • Using attacks on:
    • physical security;
    • social engineering; the abuse of human qualities such as curiosity, trust, greed, fear and ignorance.
    • (distributed) denial of service; ensure that the user no longer has access to a computer system.
    • phishing; defrauding people through internet fraud or spam.
    • place malware on our systems or those of third parties.

What can you expect from us?

  • We will treat your report confidentially. And we do not share your personal information with third parties without your permission. Unless the law requires us to. Or if we have to follow a court decision.
  • You will receive an automatic confirmation of receipt within 1 working day.
  • You will receive an (initial) assessment of the report within 7 working days. And possibly an expected date for a solution.
  • We will try to resolve the problem within 90 days. We will work with you on this if possible. In any case, we will let you know what we are doing.
  • If possible, we share the report with the Information Security Service for Municipalities (IBD). In this way we ensure that municipalities share their experiences in this area with each other.
  • Does your report really help increase the security of our systems? You will then receive a suitable reward for your help as a thank you. Depending on the severity of the security problem and the quality of the report, the reward may differ. This must be an unknown and serious security problem.

You can assume that your report will have no legal consequences for you if you follow the above rules. Does it appear that you have not followed the rules of the game? We may then still decide to take legal action against you. Herewith we assess whether you have acted in the interests of society, proportionality and the subsidiarity requirement.

PGP-sleutel

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=WK+j

-----END PGP PUBLIC KEY BLOCK-----