Kwetsbaarheden melden
De gemeente Lisse vindt het belangrijk dat haar systemen goed beveiligd zijn. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat er een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, hoort de gemeente dit graag van u, zodat er snel gepaste maatregelen kunnen worden genomen.
Door het maken van een melding verklaart u zich als melder akkoord met de afspraken hieronder over Coordinated Vulnerability Disclosure en zal de gemeente Lisse uw melding volgens de afspraken hieronder afhandelen.
De gemeente vraagt het volgende van u:
- Meld de kwetsbaarheid alstublieft zo snel mogelijk na ontdekking.
- Stuur een versleutelde e-mail naar de gemeente. Dit kan op twee manieren:
- 1. U maakt een gratis account aan bij Zivver. Mail de informatie versleuteld naar security@hltsamen.nl.
- 2. Mail naar security@hltsamen.nl. Vermeld dat u een zwakte in het systeem van de gemeente heeft gevonden en vermeld uw mobiele telefoonnummer en e-mailadres. Omschrijf het probleem niet. U ontvangt een versleutelde Zivver e-mail van de gemeente en een code op uw mobiele telefoon. Wanneer u op ‘beantwoorden’ klikt, kunt u vervolgens de zwakke plek en eventuele bijlagen versleuteld naar de gemeente versturen.
- Vertel wat u precies doet waardoor de fout naar voren komt, stap voor stap, zodat de gemeente dit kan herhalen. Op deze manier kan de gemeente het probleem zo snel mogelijk oplossen. Meestal is het internetadres of de URL van het systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij ingewikkelde kwetsbaarheden kan meer aanvullende informatie nodig zijn.
- De gemeente luistert graag naar tips die helpen om het probleem op te lossen. Houd het hierbij op algemene en bekende informatie over de kwetsbaarheid die u gevonden heeft, en voorkom daarbij dat u reclame maakt voor specifieke (beveiligings-)producten.
Wat u mag verwachten:
- De gemeente kan u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.
- Indien u volgens bovenstaande stappen te werk gaat, doet de gemeente geen strafrechtelijke aangifte tegen u en spannen geen civielrechtelijke zaak tegen u aan. Als blijkt dat u een bovenstaande voorwaarde heeft geschonden, kan de gemeente alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- De gemeente behandelt een melding vertrouwelijk en deelt geen persoonlijke gegevens van een melder met derden zonder diens toestemming, tenzij de gemeente daar volgens de wet of een rechterlijke uitspraak toe verplicht is.
- De gemeente deelt de melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgt de gemeente Lisse ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
- In overleg kan de gemeente, als u dit wenst, uw naam vermelden als de ontdekker van de kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- De gemeente stuurt u binnen twee werkdagen een ontvangstbevestiging.
- De gemeente reageert binnen drie werkdagen op een melding met een eerste beoordeling van de melding en (als het mogelijk is) een verwachte datum voor een oplossing.
- De gemeente lost het beveiligingsprobleem zo snel mogelijk op. Daarbij probeert de gemeente om u op de hoogte te houden van hoe het gaat en probeert de gemeente dit op te lossen binnen een periode van 90 dagen. Deze periode is afhankelijk van medewerking van andere partijen.
- In overleg kan worden bepaald of en op welke manier er over het probleem wordt gepubliceerd, nadat het is opgelost.
De volgende handelingen zijn niet toegestaan:
- Het plaatsen van malware op de systemen van de gemeente Lisse of op die van anderen.
- Het zogeheten bruteforcen van toegang tot systemen, behalve wanneer dat noodzakelijk is om te laten zien dat de beveiliging op dit vlak ernstig tekort schiet.
- Het gebruik maken van social engineering, behalve wanneer dit noodzakelijk is om te laten zien dat de beveiliging op dit vlak ernstig tekort schiet.
- Het openbaar maken of aan derden doorgeven van informatie over het beveiligingsprobleem voordat het probleem is opgelost.
- Het uitvoeren van meer stappen dan nodig om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u ook bijvoorbeeld alleen een directory listing noemen. Het veranderen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Het gebruik maken van technieken waarmee de bereikbaarheid en/of bruikbaarheid van het systeem of diensten worden verminderd (DoS-aanvallen).
- Het op wat voor manier dan ook misbruik maken van de kwetsbaarheid.