Een kwetsbaarheid melden bij de IBD

De IBD hecht veel belang aan de beveiliging van systemen van gemeenten. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van de systemen van gemeenten ontdekt, vernemen wij dit graag van u, zodat wij dit kunnen doorzetten en er snel gepaste maatregelen kunnen worden genomen.

De IBD fungeert als een centraal meldpunt voor gemeenten, maar ook voor derde partijen namens gemeenten. Zo kan iedereen, waaronder internetserviceproviders, hostingpartijen, leveranciers en ethical hackers bij de IBD beveiligingsincidenten en kwetsbaarheden melden die van belang zijn voor gemeenten.

Bij de IBD gaan we uit van responsible disclosure, dat wil zeggen dat u de gemeente die het betreft in de gelegenheid stelt om binnen een redelijke termijn de kwetsbaarheid op te lossen voordat u anderen in kennis stelt van uw bevindingen. Lees hierover meer in ons responsible disclosurebeleid.

Wilt u een incident of een kwetsbaarheid bij een gemeente melden? Neem dan contact op met de CERT van de IBD:

Bel: 070 373 8011
Mail: incident@IBDgemeenten.nl (PGP-sleutel)

 

Wat mag u van de IBD verwachten na een melding van een kwetsbaarheid

  • De IBD neemt contact op met de gemeente en, waar van toepassing, andere partijen die te maken hebben met het oplossen van de kwetsbaarheid.
  • De IBD informeert u over het proces en de voortgang van de oplossing
  • Na afloop kunt u een vermelding krijgen in de IBD RD-Hall of fame
  • De IBD stuurt u een kleine attentie indien u daar prijs op stelt

De volgende handelingen zijn niet toegestaan

  • Het plaatsen van malware, noch op onze systemen noch op die van anderen;
  • Het zogeheten “bruteforcen” van toegang tot systemen, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet, dat wil zeggen als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd;
  • Het gebruik maken van social engineering, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen als het op overigens volkomen legale wijze (dus niet via chantage of iets dergelijks) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. U dient daarbij alle zorg te betrachten die redelijkerwijs van u verwacht kan worden om de betreffende medewerkers zelf niet te schaden. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de IBD en niet op het schaden van individuele personen die bij de IBD werkzaam zijn;
  • Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost;
  • Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan;
  • Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen);
  • Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.