Coordinated Vulnerability Disclosure
This text is also available in English
Gemeente Zaltbommel hecht veel belang aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, vernemen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding zal gemeente Zaltbommel uw melding conform onderstaande procedure afhandelen.
Wij vragen het volgende van u:
- Een e-mail te zenden met uw bevindingen naar info@zaltbommel.nl en vermeldt in de onderwerpregel “CVD” of “Responsible Disclosure”.
- Dat u de melding zo snel mogelijk na ontdekking van de kwetsbaarheid doet.
- Dat u de informatie over het beveiligingsprobleem niet met anderen deelt totdat u van ons hoort of het is opgelost.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperkt u zich daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid en vermijdt dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings)producten.
- Contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres of telefoonnummer achter.
De volgende handelingen zijn niet toegestaan:
- Het plaatsen van malware, noch op onze systemen noch op die van anderen.
- Het zogeheten “bruteforcen” van toegang tot systemen, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet, dat wil zeggen als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd.
- Het gebruik maken van social engineering, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen als het op overigens volkomen legale wijze (dus niet via chantage of iets dergelijks) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. U dient daarbij alle zorg te betrachten die redelijkerwijs van u verwacht kan worden om de betreffende medewerkers zelf niet te schaden. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de gemeente en niet op het schaden van individuele personen die bij de gemeente werkzaam zijn.
- Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost.
- Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat wij beloven:
- Wanneer u een kwetsbaarheid vindt en zich daarbij gehouden heeft aan de procedure, hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij behandelen uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- Als blijkt dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
- De gemeente zal haar ervaringen op dit vlak delen met overkoepelende instanties als IBD en VNG.
- In onderling overleg kunnen we, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- Indien gewenst kunnen wij een voordracht doen om opgenomen te worden in “the hall of fame” bij de IBD.
- Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging en wij houden u op de hoogte van de voortgang van de oplossing.
- Wij kunnen u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een eenvoudig ‘dankjewel’, een t-shirt of cadeaubon.
- Heeft u een zwakke plek gevonden in een systeem van een organisatie waarmee de gemeente met haar producten en of diensten een relatie onderhoudt dan dient u in eerste instantie de organisatie zelf te benaderen. Indien de organisatie niet of niet goed reageert, kunt u de IBD op de hoogte stellen. Hierbij zullen zij een rol als intermediair op zich nemen om gezamenlijk tot een resultaat te komen.
Coordinated Vulnerability Disclosure (EN)
The municipality of Zaltbommel attaches great importance to the security of its systems. Despite all precautions, it remains possible that a weak spot can be found in the systems. We would like to hear from you if you discover a weak spot in one of our systems so that we can quickly take appropriate measures. By making a report, the municipality of Zaltbommel will handle your report in accordance with the procedure below.
We ask the following of you:
- Send an email with your findings to info@zaltbommel.nl and mention “CVD” or “Responsible Disclosure” in the subject line.
- Report as soon as possible after discovering the vulnerability.
- Do not share information about the security issue with others until you hear from us whether the issue was resolved.
- Provide enough information to reproduce the problem. So that we can resolve it as quickly as possible. Typically, the IP address or URL of the affected system and a description of the vulnerability are sufficient, but more complex vulnerabilities may require more information.
- We welcome tips that will help us solve the problem. Please limit yourself to verifiable facts that relate to the vulnerability you have identified and avoid that your advice is in fact advertising for specific (security) products.
- Leave contact details, so that we can contact you to work together towards a safe outcome. Leave at least one email address or phone number to contact you.
The following actions are not allowed:
- Placing malware, neither on our systems nor on those of others.
- So-called “brute forcing” of access to systems, except to the extent that this is strictly necessary to demonstrate that security in this area is seriously deficient. That is if it is extremely easy to crack a password that could seriously compromise the system with use of publicly available and affordable hardware and software.
- Using social engineering, except to the extent strictly necessary to demonstrate that employees with access to sensitive data generally fail (seriously) in their duty to handle it with care. That is, if it is generally too easy to persuade them to provide such data to unauthorized persons in an otherwise completely legal manner (not through blackmail or the like). You must exercise all care that can reasonably be expected of you so as not to harm the employees in question themselves. Your findings must be aimed exclusively at demonstrating apparent defects in the procedures and working methods within the municipality and not at harming individuals who work for the municipality.
- Disclosing or providing third parties with information about the security issue before it is resolved.
- Taking actions that go beyond what is strictly necessary to demonstrate and report the security problem. In particular when it comes to processing (including viewing or copying) confidential data to which you have had access due to the vulnerability. Instead of copying a complete database, you can normally suffice with, for example, a directory listing. Changing or deleting data in the system is never permitted.
- Using techniques that reduce the availability and/or usability of the system or services (DoS attacks).
- Abusing the vulnerability in any (other) way.
What we promise:
- If you find a vulnerability and have complied with the procedure, we have no reason to attach legal consequences to your report. We will treat your report confidentially and will not share personal information with third parties without your permission, unless this is required by law or a court order.
- If it turns out that you have violated any of the above conditions, we may still decide to take legal action against you.
- We treat a report confidentially and do not share personal data of a reporter with third parties without their permission, unless we are obliged to do so by law or a court decision.
- The municipality will share its experiences in this area with umbrella organizations such as IBD and VNG.
- By mutual agreement, if you wish, we can mention your name as the discoverer of the reported vulnerability. In all other cases you remain anonymous.
- If desired, we can make a nomination for inclusion in “the hall of fame” at the IBD.
- We will send you an (automatic) confirmation of receipt within 1 working day and we will keep you informed on the progress of the solution.
- We can offer you a reward as a thank you for your help. Depending on the severity of the security problem and the quality of the report, the reward can vary from a simple 'thank you', a t-shirt or gift voucher.
- If you have found a weak spot in a system of an organization with which the municipality maintains a relationship with its products and/or services, you should first approach the organization itself. If the organization does not respond or does not respond properly, you can inform the IBD. They will take on a role as an intermediary to jointly achieve a result.