Responsible Disclosure Policy
Het GKG (GegevensKnooppunt Groningen) hecht veel belang aan de beveiliging van haar IT-systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is: 100 procent ICT-veiligheid bestaat niet in de continu veranderende ICT-wereld. Wanneer u een zwakke plek in 1 van de systemen ontdekt, wilt u dit dan alstublieft zo snel mogelijk bij ons melden? We kunnen dan snel maatregelen nemen.
Het GKG werkt graag met u samen om burgers, bedrijven en systemen beter te kunnen beschermen door kwetsbaarheden op te lossen. U leest op deze pagina hoe u een melding kunt doen. Wanneer u een melding maakt, verklaart u zich als melder akkoord met onderstaande afspraken over responsible disclosure. Wij handelen uw melding ook volgens onderstaande afspraken af:
Wat kunt u van ons verwachten
- Een ontvangstbevestiging van uw melding binnen 3 werkdagen
- Anonimiteit van u, tenzij wetgeving wordt overtreden
- Goed overleg tussen u en ons met betrekking tot het verhelpen van de kwetsbaarheid. U wordt op de hoogte gesteld van onze beoordeling van uw melding en de verdere stappen die in het proces worden genomen
- Een zo spoedig mogelijke verwerking van uw melding
- We laten de kwetsbaarheid verhelpen, waarbij wij 60 dagen aanhouden voor het verhelpen van een kwetsbaarheid in software en 6 maanden voor een kwetsbaarheid in hardware.
- Een gepast gebaar afhankelijk van de volledigheid van de melding en de omvang van de kwetsbaarheid mits u zich houdt aan onderstaande spelregels
Wat wij van u verwachten (spelregels)
- Een verantwoordelijkheid voor het eigen handelen
- Een zo spoedig mogelijke melding na het ontdekken van de kwetsbaarheid
- Een melding op een vertrouwelijke manier, om te voorkomen dat anderen toegang krijgen tot deze informatie
- Geen toepassing van social engineering
- Een kwetsbaarheid niet verder te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen
- Geen gegevens van het systeem te kopiëren, te wijzigen of te verwijderen (een directory listing van het systeem maken mag wel)
- Geen veranderingen in het systeem aanbrengen
- Niet herhaaldelijk toegang tot het systeem nemen of de toegang met anderen delen
- Geen gebruik maken van bruteforcen voor toegang tot systemen.
- De kwetsbaarheid pas openbaar maken nadat dit overeen is gekomen tussen ons en u, waarbij alle betrokken organisaties goed zijn geïnformeerd en passende maatregelen hebben kunnen nemen, doch pas buiten de termijn die wij daarvoor hebben gesteld.
- Geen mogelijke of feitelijke schade aan gebruikers, systemen, data of applicaties toebrengen.
- Geen gebruik maken van een exploit dat data van gebruikers bekijkt, waarbij corruptie van data betrokken is of dat functies van onze diensten kan verstoren.
- Geen port scans uitvoeren op onze netwerkblokken of een DDoS aanval uitvoeren
- In overleg met ons overwegen of een bredere ICT-community op de hoogte moet worden gebracht van de kwetsbaarheid, zoals bijvoorbeeld een melding aan het NCSC.
Inhoud van de melding
- De volledige gegevens van het beveiligingsprobleem, inclusief de Proof-of-Concept URL, de details van het systemen waar de tests zijn uitgevoerd en een gedetailleerde weergave van de stappen die u heeft genomen
- Op welke manier de zwakke plek kwetsbaar is
- Authentication/Authorization
- SQL of XML injection
- Information leakage
U kunt bij ons een melding doen via gemeente@stadskanaal.nl ter attentie van de CISO (Chief Information Security Officer).
Met vriendelijke groet,
Coördinatoren GKG