Kwetsbaarheid ontdekt?

Bij gemeente Meierijstad vinden wij de veiligheid van onze website, onze ICT-systemen en onze digitale diensten erg belangrijk. Wij besteden hieraan veel zorg.
Toch kan het gebeuren dat u een zwakke plek ontdekt, bijvoorbeeld op de webpagina van de gemeente. Als dat het geval is, dan horen wij dit graag zo spoedig mogelijk van u. We nemen dan direct maatregelen om de kwetsbaarheid op te heffen.

Zwakke plekken

Zwakke plekken worden op twee manieren ontdekt: je ziet de zwakke plek bij toeval als je normaal gebruik maakt van de digitale omgeving óf je doet duidelijk je best om een zwakke plek te vinden.
Dit bericht is geen uitnodiging om ons netwerk uitgebreid actief te scannen op zwakke plekken. Wij bewaken ons netwerk zelf. Hierdoor is de kans groot dat uw scan door ons wordt gezien als een vijandige cyberaanval en dat ons Security Operation Centre (SOC) hieraan dan onnodig veel uren onderzoek moet besteden.

Voorwaarden voor het scannen

U bent van harte uitgenodigd om in een offline en non-productieomgeving actief op zoek te gaan naar kwetsbaarheden en uw bevindingen aan ons te melden. Wij willen graag met u samenwerken om onze burgers en onze systemen beter te kunnen beschermen.

Wij vragen u:

  • Uw bevindingen zo spoedig mogelijk te mailen naar cert@meierijstad.nl.
  • Misbruik de gevonden zwakke plek niet door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen uw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’.
  • Deel het probleem niet met anderen totdat het is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners.
  • Geef ons voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij ingewikkelde kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • U ontvangt binnen vijf werkdagen na uw melding een bericht van ons met een beoordeling over uw melding.
  • U hoort dan ook van ons de datum waarop wij denken dat het probleem is opgelost.  
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met anderen delen. Een uitzondering hierop is politie en justitie, in geval van aangifte of als gegevens worden opgeëist.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • In de openbare bekendmaking over het gemelde probleem zullen wij, als u dit wenst, uw naam vermelden als de ontdekker.
  • Het is helaas niet mogelijk om bij voorbaat juridische stappen tegen u uit te sluiten. We willen elke situatie apart kunnen afwegen. We achten ons zelf moreel verplicht om aangifte te doen op het moment dat we vermoeden dat de kwetsbaarheid of gegevens misbruikt worden. Of als wij vermoeden dat u kennis over de kwetsbaarheid met anderen heeft gedeeld.
  • U kunt er op vertrouwen dat een toevallige ontdekking in onze online-omgeving niet tot aangifte zal leiden.

Wij streven er naar om alle gevonden problemen zo spoedig mogelijk op te lossen en worden graag betrokken bij een eventuele openbare bekendmaking over het probleem, nadat het is opgelost.
Uiteraard houden wij alle betrokken partijen op de hoogte van de voortgang.

Dit bericht is onderdeel van de Coordinated Vulnerability Disclosure (CVD). Het doel van CVD is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden te delen. Eigenaren van ICT-systemen kunnen dan kwetsbaarheden verhelpen, voordat deze actief misbruikt zullen worden door derden.

Op de website van het Nationaal Cyber Security Centrum staat meer informatie over de veiligheid van ICT-systemen.

Uw Reactie
Uw Reactie