Coordinated Vulnerability Disclosure

For English, see below.

Gemeente Nederweert hecht een groot belang aan de veiligheid van haar computersystemen, applicaties en informatie. Hoewel wij ons uiterste best doen om onze systemen zo goed en zorgvuldig mogelijk te beveiligen, beseffen wij dat geen enkel systeem 100% veilig is en dat door menselijk handelen en/of fouten in software en hardware kwetsbaarheden kunnen ontstaan. 

Wanneer u een kwetsbaarheid in ons systeem ontdekt, dan stellen wij het zeer op prijs als u ons dat meldt. We ondernemen dan stappen om dit te herstellen. Door melding te maken van een kwetsbaarheid, gaat u akkoord met de volgende afspraken en zal Gemeente Nederweert uw melding conform onderstaande afspraken behandelen.

Wij vragen u:

  1. Mail uw bevindingen naar informatiebeveiliging@nederweert.nl.
  2. Geef voldoende informatie om de kwetsbaarheid te kunnen opsporen, zodat we deze zo snel mogelijk kunnen testen. Meestal is een IP-adres of URL van het kwetsbare systeem voldoende. Maar soms is er meer informatie nodig.
  3. Laat uw contactgegevens achter zodat wij contact met u kunnen opnemen voor aanvullende vragen. Laat in elk geval een e-mailadres of telefoonnummer achter.
  4. Meld de kwetsbaarheid direct na ontdekking.

Het volgende is niet toegestaan:

  1. Het plaatsen van malware op onze systemen of op die van derde.
  2. Via “Brute force” toegang te krijgen tot systemen, tenzij dit nodig is om aan te tonen dat de beveiliging van het systeem hier ernstig tekortschiet. Hiermee bedoelen we dat het heel makkelijk is om met openbaar verkrijgbare en/of betaalbare hardware en software een wachtwoord te kraken en zo het systeem binnen te komen.
  3. Het gebruik maken van social engineering, tenzij dit nodig is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens ernstig tekort schieten in hun taken om daar voorzichtig mee om te gaan. Dat wil zeggen als het op helemaal legale manier (Dus niet via chantage) in het algemeen eenvoudig is om hen over te halen tot het geven van gegevens aan onbevoegden. U dient daarbij alle zorg te betrachten die redelijkerwijs van u verwacht kan worden om de betreffende medewerkers zelf niet te schaden. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de gemeente Nederweert en niet op het schaden van individuele personen die bij de gemeente Nederweert werkzaam zijn.
  4. Het openbaar maken van de kwetsbaarheid, voordat hier toestemming voor gegeven is.
  5. Het uitvoeren van handelingen die verder gaan dan nodig om de kwetsbaarheid aan te tonen en te melden. Dit geldt in het bijzonder als u bij het aantonen van de kwetsbaarheid toegang heeft verkregen tot persoonsgegevens of gegevens waarvan u redelijkerwijs had kunnen begrijpen dat deze vertrouwelijk zijn.. Een schermafbeelding van een deel van de database is net zo overtuigend als een kopie van de hele database. 
  6. Het veranderen, verwijderen en downloaden van gegevens is nooit toegestaan.
  7. De beschikbaarheid van een systeem verminderen (bijvoorbeeld, denial of service aanvallen en grootschalige “Brute force” aanvallen)
  8. Op welke manier dan ook misbruik maken van de kwetsbaarheid.
  9. De informatieveiligheid in gevaar brengen.
  10. Misbruik maken van deze procedure.
  11. Gegevens die zijn verkregen tijdens onderzoek worden direct verwijderd nadat de kwetsbaarheid is verholpen.

Wat mag u van ons verwachten:

  1. Als u aan alle eisen voldoet, zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke procedure tegen u starten. 
  2. Als blijkt dat u een of meerdere van de bovenstaande eisen niet heeft opgevolgd, kunnen wij alsnog besluiten om juridische stappen tegen u te ondernemen.
  3. Wij gaan met elke melding vertrouwelijk om en zullen persoonlijke informatie niet met anderen delen, alleen als u hiervoor toestemming hebt gegeven; tenzij wij daar door de wet of gerechtelijke uitspraak toe verplicht zijn. 
  4. Wij delen een ontvangen melding altijd met de informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat gemeentes hun informatie met elkaar delen.
  5. In overleg kunnen we u noemen als ontdekker van de kwetsbaarheid. Dit gebeurt alleen met uw toestemming. In alle andere gevallen blijft u anoniem. 
  6. Wij sturen u binnen 1 werkdag een (geautomatiseerde) ontvangstbevestiging.
  7. Wij reageren binnen 5 werkdagen op een melding met een eerste beoordeling en een verwachte datum voor een oplossing.
  8. Wij verhelpen de gemelde kwetsbaarheid zo snel mogelijk. Daarbij zullen we ervoor zorgen dat u zo goed als kan op de hoogte wordt gehouden. Wij hopen de kwetsbaarheid binnen 90 dagen te verhelpen. Het kan zijn dat we hiervoor op een update of verandering van een leverancier moeten wachten.
  9. In overleg kan worden besloten om een kwetsbaarheid te publiceren. Publicatie vind altijd pas plaats nadat het probleem is opgelost.

Coordinated Vulnerability Disclosure

The municipality of Nederweert attaches great importance to the security of computer systems and various applications. Although we do our best to secure our systems as best as possible, we realize that no system is 100% secure and that human actions and/or errors in software and hardware can arise.
When a vulnerability is discovered in our system, we would like to hear about it. We then take steps to fix the vulnerability. By reporting a vulnerability, you agree to the following terms and the Municipality of Nederweert will treat your report according to the terms below.

We ask you:

  1. Mail your findings to informatiebeveiliging@nederweert.nl.
  2. Supply us with enough information to reproduce your findings. Usually, an IP address or URL will be sufficient but with more complex vulnerabilities, more information may be required. 
  3. Provide contact information that we may use to ask you for additional information. At the minimum, provide an email address or phone number.
  4. Report your findings as soon as reasonably possible after its discovery.

The following is expressly forbidden:

  1. Placing malware on our systems or those of third parties.
  2. Gain access by "brute forcing", unless this is absolutely necessary to show that our security is seriously deficient. To clarify: only do this if it is exceedingly simple to gain access using publicly available and/or cheap hardware and software.
  3. Using social engineering tricks, unless to show that employees with access to confidential information are exceedingly careless with regards to their duty to safeguard this information. To clarify: this means that it is exceedingly simple to persuade them to provide confidential information to unauthorized individuals using otherwise legal means (so without resorting to threats or blackmail, etc). You should take care not to damage the reputation of the employees in question. Your aim should be to expose the apparent deficiencies in our procedures, not to tarnish our employees. Don’t report the employees details.
  4. To make the vulnerability public or to disclose the vulnerability to third parties before permission has been granted.
  5. To perform actions beyond what is strictly necessary to demonstrate and report the vulnerability. Especially if in demonstrating the vulnerability, you have gained access to personal information or information of which you can reasonably be expected to know it is confidential. A screenshot of part of a database is just as convincing as showing us the entire database.
  6. Changing, removing and downloading data is never allowed.
  7. To diminish the availability or usability of a system (for instance with a denial of service attack or with a “Brute force” attack).
  8. To take advantage of the vulnerability in any way.
  9. Endangering the information security.
  10. Abusing this procedure.
  11. Data obtained during investigation has to be deleted immediately after the vulnerability is fixed.

What can you expect from us?

  1. If you stick to all the above conditions, we will not take legal action against you or seek to prosecute you.
  2. If it turns out that you have violated any of the above conditions, we may decide to take legal action against you.
  3. We will treat each report with confidentiality and will not share personal information of the person reporting with third parties without your permission, unless we are required to do so by law or by a ruling of the court.
  4. We will share reports we receive with the Informatiebeveiligingsdienst (IBD). This ensures awareness among the community of Dutch municipalities.
  5. If you so desire, we can give you credit for the discovery of the vulnerability. We will only do this with your permission. In all other cases, you will remain anonymous.
  6. We will send you an (automated) response within 1 work day.
  7. We will respond to your report within 5 work days with a primary assessment and if possible, a resolution date.
  8. We will mitigate the vulnerability as soon as possible. We will strive to keep you informed of our progress to the best of our ability and not to take longer than 90 days for the mitigation. For mitigations, we may be dependent on the vendors of the products we employ to deliver our services.
  9. In consultation, it can be decided to publish a vulnerability. Publication always takes place only after the problem has been solved.