Kwetsbaarheid melden
Veiligheidsregio IJsselland hecht veel belang aan de beveiliging van haar apparatuur, applicaties, systemen en diensten. Ondanks de zorg voor de informatiebeveiliging, kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Mocht daarom door een derde een kwetsbaarheid worden gevonden, kan deze via een zogenaamde Coordinated Vulnerability Disclosure worden gemeld. Een kwetsbaarheid kan aanwezig zijn doordat;
- een risico al bekend is, maar eerder niet als een prioriteit is geclassificeerd,
- doordat het aanpassen van de systemen en onderliggende architectuur tijd vergt, of
- omdat Veiligheidsregio IJsselland helemaal niet bekend is met de kwetsbaarheid.
Wanneer jij een zwakke plek in één van onze apparatuur, applicaties, systemen of diensten ontdekt, vernemen wij dit graag van jou. Zodat deze zwakke plek en haar risico beoordeeld kan worden en er gepaste maatregelen kunnen worden genomen. Hierdoor wordt er samen maatschappelijke verantwoordelijkheid genomen. Deze Coordinated Vulnerability Disclosure is expliciet niet bedoeld als reclame voor specifieke (beveiligings-)producten, en acquisitie wordt niet op prijs gesteld.
Door het maken van een melding zal Veiligheidsregio IJsselland je melding conform onderstaande afspraken afhandelen.
- Melder erkent dat op deze wijze een belangrijke maatschappelijke bijdrage wordt geleverd door kwetsbaarheden op gecoördineerde wijze te openbaren.
- Stuur je bevinding op via ons webformulier.
- Geef voldoende informatie om het probleem te reproduceren. Dit biedt de beste mogelijkheden om het probleem te begrijpen en te reproduceren, zodat er zo snel mogelijk actie kan worden ondernomen.
Informatie waar behoefte aan is:
- het IP-adres en bijbehorende URL van het getroffen systeem;
- een omschrijving van de kwetsbaarheid, idealiter met een verwijzing naar het CVE Vulnerability nummer;
- leg uit waarom de kwetsbaarheid het vermelden waard is;
- een stappenplan, idealiter met screenprints, hoe de situatie te reproduceren;
- graag de kans op actief uitbuiten door kwaadwillende aangeven? Hoog/Midden/Laag;
- graag de kans op schade aangeven? Hoog/Midden/Laag;
- aanvullende info, idealiter logging, met name bij complexere bevindingen en aanvullende informatie ter eigen inzicht;
- Veiligheidsregio IJsselland houdt zich aanbevolen voor tips die ons helpen het probleem op te lossen. Beperk jezelf daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door jou geconstateerde kwetsbaarheid;
- contactgegevens achter te laten zodat er contact gezocht kan worden om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres achter en dien de melding zo snel mogelijk in na ontdekking van de kwetsbaarheid.
- het plaatsen van malware, noch op onze systemen en noch op die van anderen;
- het misbruiken van de kwetsbaarheid door meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen;
- het gebruik maken van social engineering, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Eventuele bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen Veiligheidsregio IJsselland en niet op het schaden van individuele personen die bij Veiligheidsregio IJsselland werkzaam zijn;
- het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost;
- het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens. In plaats van een complete database te kopiëren, kan er worden volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan;
- het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DDoS-aanvallen);
- het gebruik maken van aanvallen op onze fysieke beveiliging, brute-force aanvallen, spam en/of applicaties van derden, en
- het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
- indien aan alle bovenstaande voorwaarden wordt voldaan, zal er geen strafrechtelijke aangifte worden gedaan, en ook geen civielrechtelijke zaak worden aangespannen;
- een melding wordt vertrouwelijk behandeld en je persoonlijke gegevens worden niet met derden zonder je toestemming gedeeld, tenzij dit wettelijk verplicht is. De melding wordt in behandeling genomen door het security team en eventueel de betrokken leverancier;
- in alle gevallen blijft de melder anoniem;
- de ISO of collega stuurt binnen vier weken een reactie, en houdt melder op de hoogte van de verdere voortgang van de oplossing of besluitvorming;
- Veiligheidsregio IJsselland treedt in overleg met de melder om de termijn vast te stellen waarop eventuele bekendmaking zal plaatsvinden. Deze termijn zal sterk afhangen van de aard van de kwetsbaarheid en het type systeem. Als richtlijn wordt een termijn van 60 dagen gebruikt;
- aan de melder zal nooit een financiële beloning worden geboden. De nadruk wordt gelegd op de “maatschappelijke verantwoordelijkheid”. De melder mag het doen van een melding of verdere verstrekking van informatie niet afhankelijk maken van de beloning, en
- de melder wordt bij een valide melding in elk geval voor een ‘jaar’ opgenomen in de Hall of Fame. In ieder geval is een welgemeend dankjewel altijd op zijn plaats!
- Dit beleid is geïnspireerd op de Leidraad Coordinated Vulnerability Disclosure van het NCSC en het voorbeeld op responsibledisclosure.nl.
Tom Kluter
Kwetsbaarheid melden
Heb je een kwetsbaarheid gevonden in onze systemen of apparaten? Meld het hier.