Kwetsbaarheid melden
De gemeente Zwolle vindt de beveiliging van haar systemen heel belangrijk. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Ontdekt u een zwakke plek in één van onze systemen? Wij horen dit graag van u. Dan kunnen wij snel gepaste maatregelen nemen. Deze manier van samenwerken heet Coordinated Vulnerability Disclosure (CVD).
Dat de gemeente Zwolle een Coordinated Vulnerability Disclosure beleid heeft, is geen uitnodiging om ons bedrijfsnetwerk uitgebreid en actief te scannen op zwakke plekken. Wij monitoren zelf ons bedrijfsnetwerk. Als u een kwetsbaarheid in een van onze systemen onderzoekt, houd rekening met de proportionaliteit van de aanval.
Door het maken van een melding verklaart u zich akkoord met onderstaande afspraken over de Coordinated Vulnerability Disclosure. De gemeente Zwolle handelt uw melding volgens onderstaande afspraken af.
Melding doen
Mail uw bevindingen naar security@zwolle.nl. Versleutel de bevindingen als het mogelijk is met Zivver. Of verstuur de melding via beveiligde mail. Daarmee voorkomen we dat de informatie in verkeerde handen valt. Dien de melding zo snel mogelijk in na ontdekking van de zwakke plek.
Wij hebben minimaal de volgende gegevens van u nodig:
- Laat uw gegevens achter zodat wij contact met u kunnen opnemen. Laat in ieder geval een e-mailadres of telefoonnummer achter.
- Geef voldoende informatie om het probleem te reproduceren. We kunnen het dan zo snel mogelijk oplossen. Meestal hoeft u alleen maar het IP-adres of de URL van het getroffen systeem en een omschrijving naar ons te sturen. Bij een uitgebreide zwakke plek is er misschien meer informatie nodig. Bijvoorbeeld een Proof of Concept.
Voorwaarden:
- U verwijdert alle vertrouwelijke gegevens die u hebt verkregen in uw onderzoek. Dat doet u direct nadat wij de zwakke plek hebben opgelost.
- Wij vinden het altijd fijn als we hulp krijgen om een probleem op te lossen. Geef informatie over de zwakke plek die wij kunnen controleren. Vermijd dat uw advies neerkomt op reclame voor andere (beveiligings)producten.
- Misbruik de zwakke plek niet door bijvoorbeeld:
- Meer data te downloaden dan nodig is om de zwakke plek aan te tonen.
- Gegevens te veranderen of verwijderen.
Niet toegestaan
De volgende handelingen zijn niet toegestaan:
- U mag geen malware plaatsen op onze systemen. Ook niet op die van anderen.
- U mag de toegang tot het systeem niet “bruteforcen”. Dit mag alleen als het echt niet anders kan. Bijvoorbeeld om te laten zien dat de beveiliging erg slecht is. Dit betekent dat het eenvoudig moet zijn om met makkelijk en goedkoop verkrijgbare hardware en software een wachtwoord te kraken. Met dit wachtwoord kan men dan het systeem blootstellen aan gevaar.
- U mag alleen social engineering gebruiken als het niet anders kan. Dit mag alleen als u aantoont dat medewerkers die toegang hebben tot gevoelige gegevens hier niet zorgvuldig mee om gaan. U moet legaal medewerkers hebben overgehaald om dit soort gegevens te geven aan personen die dat niet mogen krijgen. Het is niet toegestaan om medewerkers van de gemeente te schaden.
- Met wat u heeft gevonden mag u alleen aantonen dat de procedures en werkwijzen binnen de gemeente gebreken vertonen.
- U mag de informatie van het beveiligingsprobleem niet aan anderen doorgeven voordat we het probleem hebben opgelost.
- U mag alleen handelingen uitvoeren die echt nodig zijn om het beveiligingsprobleem aan ons te tonen en om aan ons te melden. U kunt ons een directory lijst geven, in plaats van een complete database te kopiëren. U mag nooit gegevens in het systeem wijzigen of verwijderen.
- U mag geen gebruik maken van technieken waarbij het gebruik en/of beschikbaarheid van het systeem of services verslechtert (DoS-aanvallen).
Behandeling van uw melding
Wat u van ons mag verwachten:
- Als u aan al de voorwaarden voldoet, doen wij geen strafrechtelijke aangifte. We spannen dan ook geen civielrechtelijke zaak tegen u aan.
- Als u zich niet aan deze voorwaarden heeft gehouden, kunnen wij een gerechtelijke zaak tegen u aanspannen.
- We behandelen de melding vertrouwelijk. We delen uw persoonlijke gegevens alleen met anderen als u daar toestemming voor heeft gegeven. Ook delen we de gegevens als we dat van de wet moeten doen. Of als dat door een rechterlijke uitspraak verplicht is.
- Gemeenten delen hun ervaringen met elkaar. Daarom delen we de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD).
- U blijft anoniem als ontdekker van de zwakker plek. Wilt u dat wij uw naam vermelden, dan doen wij dat.
- Binnen 2 werkdagen krijgt u een ontvangstbevestiging.
- Binnen 5 werkdagen krijgt u van ons een reactie met een beoordeling van de melding.
- We gaan het door u gemelde beveiligingsprobleem zo snel mogelijk oplossen. We willen u over het verloop goed op de hoogte houden. We willen er niet langer dan 90 dagen over doen om het probleem op te lossen. We zijn wel vaak afhankelijk van anderen.
- Nadat we het probleem hebben opgelost, kunnen we samen beslissen of het probleem bekend gemaakt wordt en hoe we dit communiceren.
- Wij kunnen u een beloning geven voor uw onderzoek, maar zijn hiertoe niet verplicht. De vorm van deze beloning staat niet van tevoren vast. Dit bepalen we per geval. Of we een beloning geven en de vorm waarin dit gebeurt, hangt af van:
- de zorgvuldigheid van uw onderzoek
- de kwaliteit van de melding
- de ernst van de zwakke plek