Coordinated Vulnerability Disclosure

De gemeente Emmen gaat zorgvuldig om met gegevens. Dat betekent dat systemen goed beveiligd zijn. Toch kunnen er altijd zwakke plekken opduiken. Daarom moeten we, als gebruikers en beheerders, hier altijd scherp op zijn. Ontdekt u in onze systemen een kwetsbaarheid? Meld dit dan meteen, zodat wij dit snel op kunnen lossen. Doet u een melding? Dan verklaart u zich als melder akkoord met onderstaande afspraken over de Coordinated Vulnerability Disclosure. De gemeente Emmen handelt uw melding af volgens onderstaande afspraken. 

Hoe meldt u een kwetsbaarheid?

  • Meld uw bevinding zo snel mogelijk na ontdekking van de kwetsbaarheid. 
  • Mail uw bevindingen naar gemeente@emmen.nl. Versleutel zo nodig deze bevindingen of verstuur deze in een beveiligde mail. Zo voorkomen we dat de informatie in verkeerde handen valt.  
  • Geef voldoende informatie om het probleem op te kunnen lossen. Meestal volstaat het IP-adres of de URL van het getroffen systeem met een omschrijving van de kwetsbaarheid. Bij complexere problemen kan meer informatie nodig zijn.  
  • Wij staan altijd open voor tips die ons helpen het probleem op te lossen. Beperk uzelf daarbij wel tot feiten die met uw melding te maken hebben. Zo heeft bijvoorbeeld een advies over eventuele veiligheidsproducten geen zin.  
  • Laat altijd uw contactgegevens (e-mailadres of telefoonnummer) achter voor eventuele vragen.  

Welke handelingen zijn niet toegestaan? 

  • Het plaatsen van malware, oftewel schadelijke software op onze gemeentelijke systemen en ook niet op systemen van anderen. 
  • Het zogeheten “bruteforcen” van toegang tot systemen, behalve wanneer dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet. Een voorbeeld hiervan is als een wachtwoord eenvoudig te kraken is met openbaar verkrijgbare en goed betaalbare hardware en software en waardoor het systeem in opspraak kan raken.  
  • Het gebruik maken van social engineering, behalve wanneer strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens (ernstig) tekortschieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen als op legale wijze (dus niet via bijvoorbeeld chantage) medewerkers  eenvoudig over te halen zijn om dergelijke gegevens aan onbevoegden te verstrekken. Uw bevindingen moeten uitsluitend zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de gemeente en niet op het schaden van individuele personen die bij de gemeente werkzaam zijn. Dit betekent dat daarbij alle zorg betracht moet worden die redelijkerwijs van u verwacht kan worden om de betreffende medewerkers zelf niet te schaden.
  • Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem als dit nog niet is opgelost. 
  • Handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder gaat het om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan. 
  • Technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen). 
  • Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid. 

Wat u mag verwachten

  • Als u aan alle bovenstaande voorwaarden voldoet, doen wij geen strafrechtelijke aangifte tegen u en spannen ook geen civielrechtelijke zaak tegen u aan.  
  • Als blijkt dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.  
  • Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder u toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn. 
  • Wij behouden ons het recht de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD) te delen. Zo borgen wij dat gemeenten hun ervaringen op dit vlak met elkaar delen. 
  • In onderling overleg kunnen we, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem. 
  • Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging. 
  • Wij reageren binnen 3 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing. 
  • Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij streven we ernaar om u goed op de hoogte te houden van de voortgang en nooit langer dan 90 dagen te doen over het oplossen van het probleem. Wij zijn daarbij vaak wel mede afhankelijk van toeleveranciers.  
  • In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost. 
Chat met een medewerker