ICT kwetsbaarheid melden
De gemeente Etten-Leur vindt de veiligheid van haar computersystemen erg belangrijk. We doen ons best om deze systemen goed te beveiligen, maar er kan toch een probleem ontstaan. Als iemand een probleem vindt, willen we dat graag weten zodat we het snel kunnen oplossen. Dit heet ‘responsible disclosure’. De persoon die het probleem ontdekt, geeft ons de tijd om het te repareren.
Heeft u een zwakke plek in onze systemen gevonden? Meld het ons dan! Zo kunnen we snel maatregelen nemen.
U kunt zwakke plekken op twee manieren ontdekken:
- u komt er per ongeluk achter tijdens normaal gebruik van een website of systeem
- u zoekt bewust naar een probleem in het systeem
Wat vragen wij van u?
- Meld het probleem via de link
- Geef voldoende informatie zodat wij het probleem kunnen onderzoeken en oplossen. Meestal is een IP-adres of de URL van de website voldoende, maar soms hebben we meer informatie nodig
- Laat uw contactgegevens achter, zodat we contact met u kunnen opnemen. U mag ook anoniem blijven.
- Maak geen misbruik van het probleem. Doe bijvoorbeeld niet:
- Probeer niet fysiek binnen te dringen of anderen te misleiden om toegang te krijgen.
- Plaats geen eigen toegangspoort (backdoor) in het systeem.
- Ga niet verder dan nodig om het probleem vast te stellen.
- Kopieer, wijzig of verwijder geen gegevens uit het systeem. U kunt beter een lijst van de bestanden maken.
- Verander niets aan het systeem.
- Blijf niet steeds opnieuw inloggen op het systeem.
- Gebruik geen aanvallen zoals DDoS, spam of brute force om wachtwoorden te raden.
- Download niet meer data dan nodig is om het probleem te laten zien.
- Deel het probleem niet met anderen. Wacht totdat wij het lek hebben opgelost en u daarover informeren. Deel ook geen vertrouwelijke informatie die u hebt gevonden. Verwijder deze gegevens direct nadat het probleem is opgelost.
Wij beloven
- Binnen vijf werkdagen reageren we op uw melding met onze beoordeling en een verwachte datum waarop we het probleem oplossen.
- We ondernemen geen juridische stappen tegen u als u zich aan de regels hierboven houdt.
- We behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met anderen zonder uw toestemming, tenzij dat volgens de wet of door een rechter moet. U mag ook een andere naam (pseudoniem) gebruiken bij het melden.
Tot slot
- Afhankelijk van de ernst van het beveiligingsprobleem deelt de gemeente de ontvangen melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo borgen de gemeenten dat hun ervaringen op dit vlak worden gedeeld.
- In onderling overleg kan de gemeente, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- De gemeente lost het gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij houden wij u zo goed mogelijk op de hoogte van de voortgang. Wij zijn daarbij vaak wel mede afhankelijk van externe partijen.
- In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.
Wij streven ernaar alle kwetsbaarheden zo snel mogelijk op te lossen. Nadat de kwetsbaarheid is opgelost en u hierover wilt publiceren, zijn wij graag vooraf betrokken bij deze publicaties.