Kwetsbaarheid melden

De gemeente Kampen vindt de beveiliging van haar systemen heel belangrijk. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Ontdekt u een zwakke plek in één van onze systemen? Wij horen dit graag van u. Dan kunnen wij snel gepaste maatregelen nemen. Deze manier van samenwerken heet Coördinated Vulnerability Disclosure (CVD).

Dat de gemeente Kampen een Coördinated Vulnerability Disclosure beleid heeft, is geen uitnodiging om ons bedrijfsnetwerk actief te scannen op zwakke plekken. Wij monitoren zelf ons bedrijfsnetwerk.

Door het maken van een melding gaat u akkoord met de onderstaande afspraken over de Coördinated Vulnerability Disclosure. De gemeente Kampen handelt uw melding volgens deze afspraken af.

Kwetsbaarheid melden

  • Meld de kwetsbaarheid zo snel mogelijk nadat u deze heeft ontdekt.
  • Geef voldoende informatie over het probleem. Wij kunnen dit dan controleren en zo snel mogelijk oplossen. Meestal is alleen het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid nodig. Bij een uitgebreide zwakke plek is misschien meer informatie nodig.
  • Laat uw e-mailadres en eventueel uw telefoonnummer achter. Wij kunnen dan contact met u opnemen als meer informatie nodig is om het probleem op te lossen.

Wij vragen het volgende van u:

  • Verwijder alle vertrouwelijke gegevens die u hebt gekregen bij uw onderzoek. Doe dit direct nadat wij de zwakke plek hebben opgelost.
  • Wij vinden het fijn als we hulp krijgen om een probleem op te lossen. Geef informatie over de zwakke plek die wij kunnen controleren. Maak geen reclame voor beveiligingsproducten.
  • Misbruik de zwakke plek niet door bijvoorbeeld:
    • meer data te downloaden dan nodig is om de zwakke plek aan te tonen
    • gegevens te veranderen of verwijderen

Wat u niet mag doen:

  • U mag geen malware plaatsen op onze systemen. Ook niet op die van anderen.
  • U mag niet met veel rekenkracht proberen om toegang tot het systeem te krijgen (brute force). Dit mag alleen als het echt niet anders kan. Bijvoorbeeld om te laten zien dat de beveiliging erg slecht is. Dit betekent dat het erg eenvoudig moet zijn om met makkelijk verkrijgbare en goedkope hardware en software een wachtwoord te kraken waarmee toegang mogelijk is tot het systeem.
  • U mag alleen social engineering gebruiken als het niet anders kan. Dit mag alleen als dit nodig is om aan te tonen dat medewerkers die toegang hebben tot gevoelige gegevens hier niet zorgvuldig mee omgaan. Medewerkers moeten daarbij legaal en zonder veel moeite zijn over te halen om dit soort gegevens aan personen te geven die dat niet mogen krijgen.
  • Met wat u heeft gevonden mag u alleen aantonen dat de procedures en werkwijzen binnen de gemeente gebreken vertonen. Het mag niet gericht zijn op het schaden van medewerkers van de gemeente.
  • U mag de informatie van het beveiligingsprobleem niet aan anderen doorgeven voordat we het probleem hebben opgelost.
  • U mag alleen handelingen uitvoeren die echt nodig zijn om het beveiligingsprobleem aan te tonen en aan ons te melden. In plaats van een complete database te kopiëren, kunt u ons bijvoorbeeld een directorylijst geven. U mag nooit gegevens in het systeem wijzigen of verwijderen.
  • U mag geen technieken gebruiken die de beschikbaarheid of bruikbaarheid van systemen of diensten verminderen (DDoS-aanvallen).

Wat u van ons mag verwachten:

  • Het zonder toestemming binnendringen of misbruiken van een computersysteem is strafbaar. Als u aan alle genoemde voorwaarden voldoet, doen wij geen strafrechtelijke aangifte. We spannen dan ook geen civielrechtelijke zaak tegen u aan.
  • Als u zich niet aan deze voorwaarden heeft gehouden, kunnen wij een rechtszaak tegen u aanspannen.
  • We behandelen de melding vertrouwelijk. We delen uw persoonlijke gegevens alleen met anderen als u daar toestemming voor heeft gegeven. Ook delen we de gegevens als we dat van de wet moeten doen of als dat door een rechterlijke uitspraak verplicht is.
  • Gemeenten delen hun ervaringen met elkaar. Daarom delen we de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD).
  • U blijft anoniem als ontdekker van de zwakke plek. Wilt u dat wij uw naam vermelden, dan doen wij dat.
  • Binnen 2 werkdagen krijgt u een ontvangstbevestiging.
  • Binnen 5 werkdagen krijgt u van ons een reactie met een inhoudelijke beoordeling van uw melding.
  • We lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. We willen er niet langer dan 90 dagen over doen om het probleem op te lossen. We zijn daarbij wel vaak afhankelijk van anderen.
  • Nadat het probleem is opgelost, kunnen we samen beslissen of we het probleem bekendmaken en hoe we dit doen.