Beveiligingslek of andere kwetsbaarheid melden (CVD)

Algemeen

Gemeente Amstelveen vindt het belangrijk dat haar systemen en de gegevens van haar inwoners goed beveiligd zijn. Ondanks alle voorzorgsmaatregelen kan het toch zijn dat u een beveiligingslek of andere zwakke plek (kwetsbaarheid) in een systeem vindt. Breng ons hiervan op de hoogte via het beveiligde mailsysteem Zivver, zodat we snel gepaste maatregelen kunnen nemen. Hier leest u hoe u dat doet.

Dit moet u weten

  • Geef in uw melding via Zivver het IP-adres of de URL van het kwetsbare systeem door, samen met een omschrijving van de kwetsbaarheid  
  • Omschrijf stap voor stap wat u precies doet, waardoor de kwetsbaarheid naar voren komt. Zo kan de gemeente het probleem zo snel mogelijk oplossen 
  • Bij ingewikkelde kwetsbaarheden kan meer aanvullende informatie nodig zijn 

Voorwaarden

  • Voer niet meer stappen uit dan nodig om het beveiligingsprobleem aan te tonen en te melden. Vooral als het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, noemt u bijvoorbeeld alleen een directory listing
  • Heeft u ook tips om het probleem op te lossen? Houd het hierbij tot algemene en bekende informatie over de kwetsbaarheid die u gevonden heeft, en maak daarbij geen reclame voor specifieke (beveiligings)producten  
  • Maak informatie over het beveiligingsprobleem niet openbaar of geef deze informatie niet aan anderen door, voordat het probleem is opgelost (responsible disclosure)
  • Het is verboden om malware op de systemen van de gemeente Amstelveen of op die van anderen te plaatsen
  • Gebruik geen brute force attack of social engineering, behalve als dat nodig is om te laten zien dat de beveiliging op dit vlak zeer slecht is
  • Gebruik geen technieken waarmee de bereikbaarheid en/of bruikbaarheid van het systeem of diensten worden verminderd (Dos-aanvallen en/of DDoS-aanvallen)
  • Het veranderen of verwijderen van gegevens in het systeem is nooit toegestaan
  • Het is verboden om op wat voor manier dan ook misbruik te maken van de kwetsbaarheid 

Na uw melding

  • We behandelen uw melding vertrouwelijk en delen geen persoonlijke gegevens van u met anderen zonder uw toestemming, tenzij we daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn 
  • We delen een melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo kunnen gemeenten onderling hun ervaringen op dit vlak met elkaar delen 
  • U krijgt binnen 2 werkdagen een ontvangstbevestiging van uw melding 
  • We reageren binnen 3 werkdagen op uw melding, met een 1e beoordeling en (als het mogelijk is) een verwachte datum voor een oplossing 
  • We lossen het beveiligingsprobleem zo snel mogelijk op. Daarbij probeert de gemeente om u op de hoogte te houden van hoe het gaat en proberen we dit op te lossen binnen een periode van 90 dagen. Deze periode hangt af van de medewerking van andere partijen 
  • In overleg bepalen we of en op welke manier er over het probleem wordt gepubliceerd, nádat het is opgelost 
  • De gemeente kan u een beloning bieden als dank voor de hulp. De hoogte van de beloning hangt af van hoe ernstig het (onbekende) beveiligingsprobleem is en wat de kwaliteit van de melding is 
  • Als u wilt, vermelden we uw naam als de ontdekker van de kwetsbaarheid. In alle andere gevallen blijft u anoniem 
  • Doet u de melding zoals we hebben omschreven, dan doet de gemeente geen strafrechtelijke aangifte tegen u en spannen we geen civielrechtelijke zaak tegen u aan 
  • Als blijkt dat u 1 van de voorwaarden onder het kopje ‘Dit moet u weten’ heeft geschonden, kan de gemeente alsnog besluiten om gerechtelijke stappen tegen u te ondernemen 

 

Waarom we dit doen

  • Het mogelijk maken van een kwetsbaarheidsmelding, en het maken van afspraken hierover noemen we een Coordinated Vulnerability Disclosure (CVD). Gemeenten zijn verplicht om een CVD-beleid te hebben  
  • Door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen, dragen we bij aan de informatieveiligheid van producten of diensten