Coordinated Vulnerability Disclosure
Melden kwetsbaarheid gemeentelijke systemen
Gemeente Hulst hecht veel waarde aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat er een zwakke plek in de systemen zit. Wanneer u een zwakke plek in één van onze systemen ontdekt, horen wij dat graag. Dan gaan wij dat proberen oplossen.Door het maken van een melding verklaart u zich als melder akkoord met onderstaande afspraken. De gemeente Hulst handelt uw melding volgens deze afspraken af.
Wij vragen het volgende van u:
- Geef uw bevindingen door via het formulier op onze site: Klik hier voor het formlier.
- Geef voldoende informatie om het probleem uit te leggen. Hoe duidelijker, hoe sneller wij het kunnen oplossen. Meestal is het IPadres of URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende> Bij ingewikkelde kwetsbaarheden kan meer nodig zijn.
- Wij houden ons aanbevolen voor tips. Die kunnen helpen het probleem op te lossen. Beperk uw tips tot controleerbare feiten. Vermijd ook dat uw advies neerkomt op reclame voor bepaalde (beveiligings)producten.
- Vermeld uw contactgegevens. Dan kunnen we contact met u opnemen. Zo kunnen we samen werken aan een veilig resultaat. Laat minimaal één emailadres of telefoonnummer achter. U kunt de melding ook anoniem doen. U ontvangt dan geen terugkoppeling.
- Dien de melding alstublieft zo snel mogelijk in na ontdekking van de kwetsbaarheid.
De volgende handelingen zijn niet toegestaan:
- Het plaatsen van zogenaamde malware, niet op onze systemen en niet op die van anderen. Malware is software waarmee apparaten worden beschadigd, gegevens worden gestolen en chaos wordt veroorzaakt.
- Het zogenaamde “bruteforcen” van toegang tot systemen is niet toegestaan. Daarmee wordt bedoeld het met brute kracht kraken van beveiligingen door alle mogelijke manieren uit te proberen. Dit is enkel toegestaan als het strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak tekort schiet. Dat wil zeggen als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software - een wachtwoord te kraken, waardoor het systeem ernstig wordt geschaad.
- Het gebruik maken van social engineering. Daarmee wordt bedoeld het gebruik van een techniek waarbij een aanval op computersystemen wordt gedaan door mis/gebruik van menselijke eigenschappen. Dit is enkel toegestaan als het strikt noodzakelijk is om aan te tonen dat medewerkers die toegang hebben tot gevoelige gegevens (ernstig) daar niet zorgvuldig mee omgaan. Dat wil zeggen als het op volkomen legale wijze (dus niet via chantage of iets dergelijks) te eenvoudig is om hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. U dient daarbij zeer zorgvuldig te werk te gaan, zodat betreffende medewerkers zelf worden geschaad. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van gebreken in de procedures en werkwijzen binnen de gemeente Hulst. Ze moeten niet gericht zijn op het schaden van individuele medewerkers van de gemeente Hulst.
- Het openbaar maken of aan derde verstrekken van informatie over het beveiligingsprobleem, voordat het is opgelost.
- Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder daar waar het gaat om het verwerken (incl. het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid - toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u volstaan met bijvoorbeeld een directory listing (een optie waardoor uw browser een lijst laat zien van wat er allemaal in een map staat). Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoSaanvallen).
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.