Kwetsbaarheid in systemen melden (Coordinated Vulnerability Disclosure)

Ontdekt u een zwakke plek in onze systemen? Meld dit dan bij ons zodat wij snel maatregelen kunnen nemen. De beveiliging van onze systemen is erg belangrijk. We nemen dan ook veel voorzorgsmaatregelen. Toch kan er soms een zwakke plek zijn.

Zwakke plek melden

  • Stuur een e-mail met alle informatie naar gemeente@horstaandemaas.nl. Probeer het kort en krachtig te houden. Wij nemen contact met u op als we meer informatie nodig hebben.
  • Stuur in elk geval informatie zodat wij de zwakke plek kunnen reproduceren. Meestal is het ip-adres of de url van het systeem en een korte beschrijving van de zwakke plek voldoende.
  • Heeft u tips om het probleem op te lossen? Tips zijn welkom. Reclame voor (beveiligings-)producten niet.
  • Stuur altijd uw telefoonnummer of e-mailadres mee. We kunnen u dan om meer informatie vragen als dat nodig is. En samen met u werken aan een veilig resultaat.

Na uw melding

  • De gemeente behandelt uw melding vertrouwelijk. Wij delen uw persoonlijke gegevens niet met anderen. Behalve als dit wettelijk verplicht is. Wij vragen vooraf uw toestemming als we uw gegevens met anderen willen delen.
  • De gemeente deelt uw melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). De IBD verzamelt meldingen zodat gemeenten van elkaar kunnen leren.
  • U blijft anoniem als melder. Wilt u graag als ontdekker van de zwakke plek genoemd worden? Laat ons dit dan weten.
  • U krijgt een automatische ontvangstbevestiging van uw e-mail. Wij reageren binnen 3 werkdagen op uw melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
  • U blijft zo goed mogelijk op de hoogte van de voortgang van de oplossing. De gemeente is vaak afhankelijk van anderen voor de oplossing. Daarom kan het soms wat langer duren voordat u een update krijgt.
  • We overleggen met u of en hoe we over de door u ontdekte zwakke plek publiceren. Dit doen we alleen als het probleem is opgelost.
  • De gemeente kan u een aardigheidje geven als dank voor uw hulp.

Regels

  • U plaatst geen malware op onze systemen of op systemen van anderen.
  • U mag systemen niet ‘bruteforcen’ om toegang te krijgen. Dit mag alleen als het echt nodig is. Bijvoorbeeld om te laten zien dat u met eenvoudige middelen een wachtwoord kunt kraken om onze systemen te beschadigen.
  • U gebruikt geen social engineering. Dit mag alleen als het echt nodig is. Bijvoorbeeld om te laten zien dat medewerkers misbruik maken van toegang tot gevoelige gegevens. U richt zich daarbij op zwakke plekken in de werkwijze en processen van de gemeente.
  • U deelt uw informatie over het probleem en de oplossing niet met anderen voordat het probleem is opgelost.
  • U doet niet meer dan nodig is om de zwakke plek te laten zien en te melden.
  • U gebruikt geen technieken waarmee de beschikbaarheid of bruikbaarheid van het systeem slechter wordt (bijvoorbeeld ddos-aanvallen).
  • U maakt geen misbruik van de zwakke plek.