Kwetsberens melde

De gemeente hechtet grut belang oan de feiligens fan har systemen. Der kinne lykwols noch wol kwetsberheden bestean. As jo in kwetsberens ûntdekke op 'e webside of yn in gemeentlik systeem, meld dit dan. De gemeente sil de melding beoardielje en sa gau mooglik aksje ûndernimme. Dizze metoade fan gearwurking hjit Coordinated Vulnerability Disclosure (CVD). Troch it yntsjinjen fan in melding hâlde wy ús oan de folgjende ôfspraken.

Wy freegje it folgjende fan jo

  • Stjoer jo befiningen per e-post nei datalek@8ktd.nl. Brûk leafst ús Zivver-ymplemintaasje. foar fersifering en fertroulikens.
  • Jou asjebleaft genôch ynformaasje om it probleem te reprodusearjen, sadat wy it sa gau mooglik oplosse kinne. It IP-adres of URL fan it troffen systeem en in beskriuwing fan 'e kwetsberens binne meastentiids genôch, mar mear ynformaasje kin nedich wêze foar mear komplekse kwetsberens.
  • Wy ferwolkomje suggestjes dy't ús helpe kinne om it probleem op te lossen. Beheine jo suggestjes asjebleaft ta ferifiearbere feiten yn ferbân mei de kwetsberens dy't jo identifisearre hawwe, en foarkom dat jo advys effektyf delkomt op reklame foar spesifike (feiligens)produkten.
  • Jou asjebleaft jo kontaktgegevens op, sadat wy kontakt mei jo opnimme kinne om gear te wurkjen oan in feilige útkomst. Jou asjebleaft teminsten ien e-mailadres of tillefoannûmer op.
  • Dien it rapport sa gau mooglik yn nei't jo de kwetsberens ûntdutsen hawwe.

De folgjende aksjes binne net tastien

  • Malware pleatse, op ús systemen of op dy fan oaren;
  • Saneamde "brute-forcerende" tagong ta systemen, útsein foar safier't strikt needsaaklik is om in serieuze tekoartkomming yn feiligens op dit mêd oan te toanen, d.w.s. as it ekstreem maklik is om in wachtwurd te kraken mei iepenbier beskikbere en betelbere hardware en software dy't it systeem serieus yn gefaar bringe soe;
  • It brûken fan sosjale technyk, útsein foar safier't strikt needsaaklik is om oan te toanen dat meiwurkers mei tagong ta gefoelige gegevens oer it algemien (serieus) tekoart komme yn harren plicht om der soarchfâldich mei om te gean. Dit betsjut dat it oer it algemien te maklik is om har te oertsjûgjen om sokke gegevens oan net-autorisearre persoanen te jaan fia oars perfekt legale middels (d.w.s. net troch ôfpersing of soksoarte). Jo moatte alle ridlike soarch útoefenje om te foarkommen dat de meiwurkers yn kwestje skea oanrjochte wurde. Jo befiningen moatte allinich rjochte wêze op it oantoanen fan dúdlike gebreken yn prosedueres en wurkmetoaden, en net op it skea oan yndividuen.
  • It befeiligingsprobleem oan tredden iepenbier meitsje of ynformaasje jaan oer it foardat it oplost is;
  • Aksjes útfiere dy't fierder geane as wat strikt needsaaklik is om de feiligenskwetsberens oan te toanen en te melden. Dit is foaral wier as it giet om it ferwurkjen (ynklusyf it besjen of kopiearjen) fan fertroulike gegevens dêr't jo tagong ta krigen hawwe fanwegen de kwetsberens. Ynstee fan in hiele database te kopiearjen, kinne jo meastentiids genôch wêze mei eat as in maplist. It wizigjen of wiskjen fan gegevens yn it systeem is nea tastien;
  • Techniken brûke dy't de beskikberens en/of brûkberens fan it systeem of tsjinsten ferminderje (DDoS-oanfallen);
  • Misbrûk meitsje fan de kwetsberens op hokker (oare) manier dan ek.

Wat wy tasizze

  • As jo oan al dizze betingsten foldogge, sille wy gjin strafrjochtlike klacht tsjin jo yntsjinje of boargerlike prosedueres tsjin jo begjinne.
  • As bliken docht dat jo ien fan 'e boppesteande betingsten skeind hawwe, kinne wy noch beslute om juridyske stappen tsjin jo te nimmen.
  • Wy behannelje in melding fertroulik en diele de persoanlike ynformaasje fan in melder net mei tredden sûnder harren tastimming, útsein as wy dêr wetlik of troch in rjochterlik beslút ta ferplichte binne.
  • Mei ûnderlinge oerienkomst kinne wy, as jo wolle, jo namme neame as de ûntdekker fan 'e rapportearre kwetsberens. Yn alle oare gefallen bliuwe jo anonym.
  • Wy sille jo binnen 1 wike in (automatyske) befêstiging fan ûntfangst stjoere en wy sille jo op 'e hichte hâlde fan 'e foarútgong fan 'e oplossing.