Responsible Disclosure richtlijnen

Wij vragen:

• Jou jouw bevindingen ons te mailen en de bevindingen indien mogelijk versleuteld aan te bieden om zo te voorkomen dat informatie in verkeerde handen valt;
• De melding direct of binnen 24 uur na de ontdekking van de kwetsbaarheid te doen;
• Voldoende informatie te geven om het probleem te reproduceren, zodat we dit binnen 24 uur kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn;
• Verantwoordelijk om te gaan met de kennis over de bevindingen door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen;
• De bevinding niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen of gegevens/content te verwijderen of aan te passen;
• Schriftelijk (per e-mail, zie eerste punt) te bevestigen dat je conform deze ‘Responsible Disclosure’ hebt gehandeld en zult blijven handelen;
• De informatie over het beveiligingsprobleem niet met anderen te delen;
• Juiste contactgegevens achter te laten, zodat we met jou in contact kunnen komen om samen te werken aan een veilig resultaat. Indien je hiervoor kiest, laat dan minimaal jouw naam, e-mailadres en/of telefoonnummer achter. Anoniem melden of melden onder een pseudoniem is mogelijk.

Vermijd de volgende handelingen:

• Het plaatsen van malware;
• Het kopiëren, wijzigen of verwijderen van gegevens in een systeem;
• Het aanbrengen van veranderingen in het systeem;
• Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;
• Het gebruik maken van geautomatiseerde scantools;
• Het gebruik maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
• Het gebruik maken denial-of-service of social engineering.

Brandweer.nl of Brandweernederland.nl belooft jou:

• Indien de contactgegevens bekend zijn: binnen een werkdag jou als melder een ontvangstbevestiging te sturen en binnen vijf werkdagen inhoudelijk te reageren op jouw melding. De reactie bevat een beoordeling van de melding en eventueel een verwachte einddatum voor een oplossing. Daarnaast houden we je als melder, en indien gewenst, graag op de hoogte van de voortgang van het oplossen van het probleem;
• De door jou geconstateerde bevindingen in een systeem zo snel mogelijk op te lossen;
• Indien je bij de melding van een door jou geconstateerde kwetsbaarheid in een ICT-systeem van Brandweer.nl of Brandweernederland.nl aan de bovenstaande vragen en/of voorwaarden voldoet, de brandweer geen juridische consequenties zal verbinden aan deze melding. Hierbij is het belangrijk om te kijken of er mogelijk en zo ja, welke strafbare feiten zijn gepleegd en in hoeverre jij je als melder al dan niet aan het opgestelde beleid hebt gehouden;
• Een melding vertrouwelijk te behandelen en we zullen jouw persoonlijke gegevens als melder niet zonder toestemming delen met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is. Brandweer.nl of Brandweernederland.nl kan, als jij dat wilt, jouw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

Bovenstaand Responsible Disclosure beleid is gebaseerd op het beleid dat geldt bij het Nationaal Cyber Security Centrum (NCSC) en de Rijksoverheid en is mede gebaseerd op zogenoemde BIO controls als uitbreiding op de ISO 27001 annexen 16.1.2 en 16.1.3.

Het doel van Coordinated Vulnerability Disclosure (CVD) is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden te delen. Eigenaren van ICT-systemen kunnen dan kwetsbaarheden verhelpen vóórdat deze actief misbruikt kunnen worden door derden. (Bron: NCSC)