Kwetsbaarheden in ICT-systemen melden

* English follows Dutch*

Kwetsbaarheden in ICT-systemen melden
De Connectie vindt het essentieel dat haar ICT-systemen veilig zijn en streeft een zo hoog mogelijke beveiliging na. Niettemin kan het altijd gebeuren dat er een zwakke plek in een van deze systemen voorkomt.

Kwetsbaarheden in ICT-systemen van De Connectie
Als u een zwakke plek in een van de ICT-systemen van De Connectie heeft gevonden, dan horen we dit graag van u. Op die manier zijn we in staat om zo snel mogelijk maatregelen te nemen om de gevonden kwetsbaarheid te verhelpen. Om op een verantwoorde manier om te kunnen gaan met gevonden kwetsbaarheden in onze ICT-systemen zijn er afspraken, waaraan u ons mag houden.

De Connectie vraagt u:

Uw bevindingen te e-mailen naar cert@connectie.nl en/of te uploaden via https://securetransfer.connectie.nl om te voorkomen dat de informatie in verkeerde handen valt.
Voldoende informatie te geven om het probleem te reproduceren zodat De Connectie het probleem zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan uiteraard meer informatie nodig zijn.
Contactgegevens achter te laten zodat De Connectie met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
Vermijd daarom in elk geval de volgende handelingen:

Het plaatsen van malware.
Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directorylisting van een systeem).
Het aanbrengen van veranderingen in het systeem.
Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
Het gebruik maken denial-of-service attacks (DDoS) of social engineering.
Wat u mag verwachten:

Als u bij melding aan bovenstaande voorwaarden voldoet, zal De Connectie geen juridische consequenties verbinden aan deze melding.
De Connectie behandelt een melding vertrouwelijk, en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
In onderling overleg kan De Connectie, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
De Connectie stuurt u binnen één werkdag een ontvangstbevestiging.
De Connectie reageert binnen drie werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
De Connectie houdt melder op de hoogte van de voortgang van het oplossen van het probleem.
De Connectie lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
De Connectie biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot maximaal een bedrag van 300 euro aan cadeaubonnen. Het moet hierbij wel gaan om een voor De Connectie nog onbekend en serieus beveiligingsprobleem.
Kwetsbaarheden in ICT-systemen van derden
Als u een zwakke plek heeft gevonden in een systeem van de overheid of in een systeem met een vitale functie, dan kunt u contact opnemen met het Nationaal Cyber Security Centrum (NCSC). Voor systemen van andere eigenaren/beheerders en of leveranciers dient u in eerste instantie die organisaties zelf te benaderen. Indien de organisatie niet of niet goed reageert, kunt u het NCSC op de hoogte brengen. Hierbij zal het NCSC een rol als intermediair op zich nemen om gezamenlijk tot een resultaat te komen.

Voor meer informatie, zie: https://www.ncsc.nl/actueel/leidraad-coordinated-vulnerability-disclosure.html

Voor meldingen over systemen van derden:

Reageert het NCSC binnen drie werkdagen op een melding door contact op te nemen met de eigenaar en u een reactie te geven.
Is de eigenaar primair verantwoordelijk om de melder op de hoogte te houden van de voortgang van het oplossen van het probleem.
Zal het NCSC de eigenaar helpen met advies zodat het beveiligingsprobleem zo snel mogelijk verholpen kan worden.
Vraag het NCSC u om ons informatie door te geven of en hoe er al contact is geweest met de organisatie.
Reporting vulnerabilities
De Connectie considers (digital) security important. Have you seen or found a vulnerability? Report it! View the procedure: Coordinated Vulnerability Disclosure.

Coordinated Vulnerability Disclosure
De Connectie is a partnership between the municipalities of Arnhem, Renkum and Rheden. Together, these three municipalities are the owners of De Connectie.

De Connectie focuses on the operational management of and for the municipalities, so that they can fully focus on their residents and businesses. In addition, De Connectie also provides a number of products and services to other organizations, namely: ODRA, the Arnhem social district teams, West Veluwe Valley Safety House and Arnhem region, Overbetuwe and the municipality of Rozendaal.

De Connectie believes it is essential that its IT systems are secure and strives for the highest possible security. Nevertheless, it can always happen that there is a weakness in one of these systems.

Vulnerabilities in IT systems of De Connectie
If you have found a weak spot in one of De Connectie’s IT systems, we would like to hear from you. In this way we are able to take measures as quickly as possible to remedy the vulnerability found. In order to be able to deal with the vulnerabilities found in our IT systems in a responsible manner, there are agreements that you can keep to us.

De Connectie asks you:

E-mail your findings to cert@connectie.nl and / or upload via https://securetransfer.connect… to prevent the information from falling into the wrong hands.
Provide sufficient information to reproduce the problem so that De Connectie can solve the problem as quickly as possible. Usually the IP address or URL of the affected system and a description of the vulnerability is sufficient, but more complex vulnerabilities may of course require more information.
Leave contact details so that De Connectie can contact you to work together to achieve a safe result. Leave at least one e-mail address or telephone number.
Make the report as soon as possible after discovery of the vulnerability.
Do not share the information about the security issue with others until it is resolved.
Act responsibly in dealing with the knowledge of the security issue by not performing any actions that go beyond what is necessary to demonstrate the security issue.
Therefore, at least avoid the following actions:

Placing malware.
Copying, changing or deleting data in a system (an alternative is to make a directory listing of a system).
Making changes to the system.
Repeated access to the system or sharing access with others.
Using the so-called “gross force” of access to systems.
Making use of denial-of-service attacks (DDoS) or social engineering.
What you can expect from us:
If you meet the above conditions when reporting, De Connectie will not take legal measures.
De Connectie treats a report confidentially, and does not share personal information with third parties without the consent of the reporter, unless this is required by law or pursuant to a court decision.
In mutual consultation, De Connectie can, if you wish, state your name as the discoverer of the reported vulnerability.
De Connectie will send you a confirmation within one working day.
De Connectie responds within three working days to a report with the assessment of the report and an expected date for a solution.
De Connectie keeps the notifier informed of the progress in solving the problem.
De Connectie solves the security problem that you have discovered in a system as quickly as possible, but no later than within 60 days. In mutual consultation it can be determined whether and how the problem will be published after it has been resolved.
De Connectie offers a reward as a thank you for the help. Depending on the seriousness of the security problem and the quality of the report, that reward can vary from a T-shirt to a maximum of 300 euros in gift vouchers. The problem found must be an unknown and serious security issue for De Connectie.
Vulnerabilities in third-party IT systems
If you have found a weakness in a government system or in a system with a vital function, you can contact the National Cyber Security Center (NCSC). For systems from other owners / managers and / or suppliers you must first approach those organizations yourself. If the organization does not respond or does not respond well, you can inform the NCSC. The NCSC will take on a role as an intermediary in order to achieve a joint result.

For more information, please visit: https://www.ncsc.nl/actueel/leidraad-coordinated-vulnerability-disclosure.html

For notifications about third-party systems:

The NCSC responds to a report within three working days by contacting the owner and giving you a response.
The owner is primarily responsible for keeping the reporter informed of the progress of the problem.
The NCSC will assist the owner with advice so that the security problem can be solved as quickly as possible.
Ask the NCSC to provide us with information about whether and how there has already been contact with the organization.