Kwetsbaarheid ontdekt?

Digitale kwetsbaarheid ontdekt?

Laat het ons zo snel mogelijk weten. (Coordinated Vulnerability Disclosure)

Bij gemeente Meierijstad vinden wij de veiligheid van onze website, onze ICT-systemen en onze digitale diensten erg belangrijk. Wij besteden hieraan veel zorg. 
Toch kan het gebeuren dat u een zwakke plek ontdekt, bijvoorbeeld op de webpagina van de gemeente. Als dat het geval is, dan horen wij dit graag zo spoedig mogelijk van u. We nemen dan direct maatregelen om de kwetsbaarheid op te heffen. 

Zwakke plekken 

Zwakke plekken worden op twee manieren ontdekt: je ziet de zwakke plek bij toeval als je normaal gebruik maakt van de digitale omgeving óf je doet duidelijk je best om een zwakke plek te vinden. Dit bericht is geen uitnodiging om ons netwerk uitgebreid actief te scannen op zwakke plekken. Wij bewaken ons netwerk zelf. Hierdoor is de kans groot dat uw scan door ons wordt gezien als een vijandige cyberaanval en dat er hieraan dan onnodig veel uren onderzoek besteed moeten worden. 

Voorwaarden voor het scannen 

U bent van harte uitgenodigd om in een offline en non-productieomgeving actief op zoek te gaan naar kwetsbaarheden en uw bevindingen aan ons te melden. 
Wij willen graag met u samenwerken om onze burgers en onze systemen beter te kunnen beschermen. 

Wij vragen u: 

  • Uw bevindingen zo spoedig mogelijk te mailen naar cert@meierijstad.nl. Versleutel de bevindingen (indien mogelijk), om te voorkomen dat de informatie in verkeerde handen valt.  
  • De gevonden zwakke plek niet te misbruiken door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen uw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’. 
  • Het probleem niet te delen met anderen totdat het is opgelost. 
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners. 
  • Ons voldoende informatie te geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij ingewikkelde kwetsbaarheden kan meer informatie nodig zijn. 
  • Contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat.  
  • De melding a.u.b. zo snel mogelijk in te dienen na ontdekking van de kwetsbaarheid.  

Wat wij beloven: 

  • U ontvangt binnen vijf werkdagen na uw melding een bericht van ons met een beoordeling over uw melding. 
  • U hoort dan ook van ons of we een verwachte termijn kunnen geven waarop wij denken dat het probleem is opgelost.  
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met anderen delen. Een uitzondering hierop is politie en justitie, in geval van aangifte of als gegevens worden opgeëist. 
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem. 
  • In de openbare bekendmaking over het gemelde probleem zullen wij, als u dit wenst, uw naam vermelden als ontdekker.  
  • Het is helaas niet mogelijk om bij voorbaat juridische stappen tegen u uit te sluiten. We willen elke situatie apart kunnen afwegen. We achten ons zelf moreel verplicht om aangifte te doen op het moment dat we vermoeden dat de kwetsbaarheid of gegevens misbruikt worden. Of als wij vermoeden dat u kennis over de kwetsbaarheid met anderen heeft gedeeld. 
  • U kunt er op vertrouwen dat een toevallige ontdekking in onze online-omgeving niet tot aangifte zal leiden. 

Wij streven er naar om alle gevonden problemen zo spoedig mogelijk op te lossen en worden graag betrokken bij een eventuele openbare bekendmaking over het probleem, nadat het is opgelost. 

Dit bericht is onderdeel van de Coordinated Vulnerability Disclosure (CVD). Het doel van CVD is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden te delen. Eigenaren van ICT-systemen kunnen dan kwetsbaarheden verhelpen, voordat deze actief misbruikt zullen worden door derden. 

Op de website van het Nationaal Cyber Security Centrum staat meer informatie over de veiligheid van ICT-systemen. 

Hall of fame 

De volgende persoon, Bas van Schaik, maakte in september 2024 gebruik van de mogelijkheid om beveiligingsproblemen aan ons te melden. Deze melding is door gemeente Meierijstad geverifieerd en er zijn maatregelen getroffen.

De volgende persoon, Floris van Trier, maakte in april 2024 gebruik van de mogelijkheid om beveiligingsproblemen aan ons te melden. Deze melding is door gemeente Meierijstad geverifieerd en er zijn maatregelen getroffen.  

Zo werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen