Kwetsbaarheid melden

De gemeente Zuidplas vindt het belangrijk dat onze systemen goed beveiligd zijn. Toch kan er soms een fout of zwakke plek in de beveiliging zitten. Vindt u zo’n kwetsbaarheid? Laat het ons weten via het beveiligde mailsysteem Zivver, zodat wij het probleem kunnen oplossen.

Kwetsbaarheid melden

Als u een kwetsbaarheid meldt zal de gemeente Zuidplas deze volgens onderstaande afspraken behandelen.

Wat vragen wij van u

  • Meld de gevonden kwetsbaarheid via Zivver, een beveiligd e-mailsysteem. Door dit te gebruiken voorkomen we dat informatie over deze kwetsbaarheid in verkeerde handen valt
  • Geef zoveel mogelijk informatie. Zo kunnen wij het probleem verder onderzoeken. Denk aan een IP-adres of URL. Geef ook een duidelijke omschrijving van de kwetsbaarheid, bijvoorbeeld door stap voor stap te omschrijven wat u precies doet waardoor de kwetsbaarheid naar voren komt. Het kan voorkomen dat we bij moeilijke kwetsbaarheden om extra uitleg vragen
  • Tips zijn welkom, maar richt u alleen op de kwetsbaarheid zelf
  • Laat uw contactgegevens achter (bijvoorbeeld e-mailadres en/of telefoonnummer). Zo kunnen we u bereiken als we meer informatie nodig hebben of willen overleggen
  • Meld de kwetsbaarheid zo snel mogelijk nadat u deze hebt ontdekt.

Voorwaarden

  • U mag geen malware plaatsen, niet op onze systemen en niet op die van anderen
  • U mag geen brute-force aanvallen uitvoeren om wachtwoorden te kraken, behalve als het heel makkelijk is om dat te doen met goedkope, openbare middelen
  • U mag geen medewerkers proberen te misleiden (social engineering)
  • Deel of publiceer de kwetsbaarheid niet voordat het probleem is opgelost
  • Beperk uw handelingen tot wat nodig is om de kwetsbaarheid aan te tonen. Verwerk geen vertrouwelijke gegevens als dat niet nodig is. Bekijk of kopieer de vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe hebt gehad dus niet. Een lijst van bestanden (directory list) is meestal voldoende bewijs. Verwijderen of aanpassen van gegevens is nooit toegestaan
  • Gebruik geen technieken die de beschikbaarheid en/of bruikbaarheid van systemen verminderen, zoals DoS-aanvallen of DDoS-aanvallen
  • Maak op geen enkele manier misbruik van de kwetsbaarheid.

Wat kunt u van ons verwachten

  • We behandelen uw melding vertrouwelijk en delen uw gegevens niet zonder toestemming met derden, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is
  • We ondernemen geen juridische stappen naar aanleiding van een melding als u zich aan bovenstaande voorwaarden houdt
  • We delen uw melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo kunnen andere gemeenten er ook van leren
  • Indien gewenst kunnen we uw naam vermelden als ontdekker van de gemelde kwetsbaarheid. Anders blijft u anoniem
  • Binnen 1 werkdag krijgt u een automatische ontvangstbevestiging van uw melding
  • Binnen 5 werkdagen krijgt u een eerste reactie, eventueel met een verwachte oplossingstermijn
  • We lossen het beveiligingsprobleem zo snel mogelijk op. We proberen u op de hoogte te houden van de voortgang en proberen er niet langer dan 90 dagen over te doen om het probleem op te lossen. Hierbij kunnen we afhankelijk zijn van leveranciers
  • We overleggen met u over het openbaar maken van de melding. Dat doen we pas als het probleem is opgelost
  • Als dank kunnen we u een beloning geven. Deze beloning hangt af van hoe ernstig het probleem is en hoe goed uw melding is.