Responsible disclosure
De gemeente Ljouwert nimt yngreven maatregels om syn kompjûtersystemen goed te befeiligjen. Dochs kinne ek ús systemen (in) swak(ke) plak(ken) hawwe. Wannear’t jo in swak plak yn ien fan ús systemen ûntdekke, hearre wy dat graach fan jo. Wy kinne dan fluch passende maatregels nimme. Troch it meitsjen fan in melding fan in swak plak ferklearret de melder him akkoart mei ûndersteande ôfspraken oer responsible disclosure. De gemeente Ljouwert hannelet jo melding dan neffens ûndersteande ôfspraken ôf.
Wy freegje it folgjende fan jo
- Mail jo befinings nei wittehoed@leeuwarden.nl. Ferstjoer de befinings befeilige fia https://bestandverzenden.leeuwarden.nlom tefoaren te kommen dat de ynformaasje yn ferkearde hannen falt. Jou genôch ynformaasje om it probleem te reprodusearjen, sadat wy it sa fluch mooglik oplosse kinne. Meastal is it IP-adres of de URL fan it troffen systeem en in omskriuwing fan de kwetsberens foldwaande, mar by kompleksere kwetsberheden kin mear nedich wêze. Wy hâlde ús oanbefelle foar tips dy’t ús helpe it probleem op te lossen. Beheine jo josels dêrby wol ta te ferifiearjen feitlikheden dy’t de troch jo konstatearre kwetsberens oangeane en kom tefoaren dat jo advys yn feite delkomt op reklame foar spesifike (befeiligings)produkten.
- Lit jo kontaktgegevens efter sadat wy mei jo yn kontakt komme kinne om gear te wurkjen oan in feilich resultaat. Lit minimaal ien e-mailadres of telefoannûmer efter.
- Tsjinje de melding asjeblyft sa gau mooglik yn nei it ûntdekken fan de kwetsberens.
De folgjende hannelingen binne net tastien
- It pleatsen fan malware, likemin op ús systemen as op dy fan oaren.
- It saneamde “bruteforcen” fan tagong ta systemen.
- It gebrûk meitsjen fan social engineering, behalven foar safier’t dat beslist needsaaklik is om oan te toanen dat meiwurkers mei tagong ta gefoelige gegevens yn it algemien (earnstich) tekoart sjitte yn harren plicht om dêr soarchfâldich mei om te gean. Dat wol sizze dat it, op folslein legale wize (dus net fia sjantaazje of sokssawat), yn it algemien te ienfâldich is harren oer te heljen om sokke gegevens oan ûnbefoegen te ferstrekken. Jo moatte dêrby alle soarch betrachtsje dy’t ridlikerwiis fan jo ferwachte wurde kin om de oanbelangjende meiwurkers sels gjin skea te dwaan. Jo befinings moatte inkeld rjochte wêze op it oantoanen fan dúdlike brekmen yn de prosedueren en wurkwize binnen de gemeente en net op it skea dwaan fan yndividuele persoanen dy’t by de gemeente wurksum binne.
- It iepenbier meitsjen of oan tredden ferstrekken fan ynformaasje oer it befeiligingsprobleem foardat it oplost is.
- It ferrjochtsjen fan hannelingen dy’t fierder geane as wat strikt needsaaklik is om it befeiligingsprobleem oan te toanen en te melden. Yn it bysûnder dêr’t it giet om it ferwurkjen (dêrûnder it ynsjen of kopiearjen) fan fertroulike gegevens dêr’t jo troch de kwetsberens tagong ta hân hawwe. Yn stee fan in folsleine database te kopiearjen, kinne jo gewoanwei folstean mei bygelyks in directory listing. It wizigjen of ferwiderjen fan gegevens yn it systeem is nea tastien.
- It iepenbier meitsjen of oan tredden ferstrekken fan gegevens mei in fertroulik karakter, lykas privacygefoelige gegevens.
- It gebrûk meitsjen fan techniken dêr’t de beskikberens en/of brûkberens fan it systeem of services mei fermindere wurdt (DoS-oanfallen).
- It op hokfoar (oare) wize dan ek misbrûk meitsjen fan de kwetsberens.
Wat jo ferwachtsje meie
- Wannear’t jo oan alle boppesteande betingsten foldogge, dogge wy gjin strafrjochtlike oanjefte tsjin jo en spanne wy ek gjin sivylrjochtlike saak tsjin jo oan.
- As bliken docht dat jo jo net oan ien fan de betingsten hâlden hawwe, kinne wy lykwols noch beslute om gerjochtlike stappen tsjin jo te ûndernimmen. Wy behannelje in melding fertroulik en diele persoanlike gegevens fan in melder net sûnder syn tastimming mei tredden, of it moat wêze dat wy dêr neffens de wet of in rjochterlike útspraak ta ferplichte binne.
- Wy diele de ûntfongen melding altyd mei de Ynformaasjebefeiligingstsjinst foar gemeenten (IBD). Sa boargje wy dat gemeenten harren ûnderfinings op dit mêd mei-inoar diele. Yn ûnderling oerlis kinne wy, as jo dat winskje, jo namme fermelde as de ûntdekker fan de melde kwetsberens. Yn alle oare gefallen bliuwe jo anonym.
- Wy stjoere jo binnen 1 wurkdei in (automatyske) ûntfangstbefêstiging.
- Wy reagearje binnen 3 wurkdagen op in melding mei in (earste) beoardieling fan de melding en eventueel in ferwachte datum foar in oplossing.
- Wy losse it troch jo melde befeiligingsprobleem sa gau mooglik op. Dêrby stribje wy dernei om jo goed op de hichte te hâlden fan de fuortgong en nea langer as 90 dagen te dwaan oer it oplossen fan it probleem. Wy binne dêrby faak wol mei ôfhinklik fan taleveransiers.
Yn ûnderling oerlis kin bepaald wurde oft en op hokker wize oer it probleem publisearre wurdt, nei’t it oplost is.
Fluch oan:
Wy freegje it folgjende fan jo
- Mail jo befinings nei wittehoed@leeuwarden.nl. Ferstjoer de befinings befeilige fia https://bestandverzenden.leeuwarden.nlom tefoaren te kommen dat de ynformaasje yn ferkearde hannen falt. Jou genôch ynformaasje om it probleem te reprodusearjen, sadat wy it sa fluch mooglik oplosse kinne. Meastal is it IP-adres of de URL fan it troffen systeem en in omskriuwing fan de kwetsberens foldwaande, mar by kompleksere kwetsberheden kin mear nedich wêze. Wy hâlde ús oanbefelle foar tips dy’t ús helpe it probleem op te lossen. Beheine jo josels dêrby wol ta te ferifiearjen feitlikheden dy’t de troch jo konstatearre kwetsberens oangeane en kom tefoaren dat jo advys yn feite delkomt op reklame foar spesifike (befeiligings)produkten.
- Lit jo kontaktgegevens efter sadat wy mei jo yn kontakt komme kinne om gear te wurkjen oan in feilich resultaat. Lit minimaal ien e-mailadres of telefoannûmer efter.
- Tsjinje de melding asjeblyft sa gau mooglik yn nei it ûntdekken fan de kwetsberens.
De folgjende hannelingen binne net tastien
- It pleatsen fan malware, likemin op ús systemen as op dy fan oaren.
- It saneamde “bruteforcen” fan tagong ta systemen.
- It gebrûk meitsjen fan social engineering, behalven foar safier’t dat beslist needsaaklik is om oan te toanen dat meiwurkers mei tagong ta gefoelige gegevens yn it algemien (earnstich) tekoart sjitte yn harren plicht om dêr soarchfâldich mei om te gean. Dat wol sizze dat it, op folslein legale wize (dus net fia sjantaazje of sokssawat), yn it algemien te ienfâldich is harren oer te heljen om sokke gegevens oan ûnbefoegen te ferstrekken. Jo moatte dêrby alle soarch betrachtsje dy’t ridlikerwiis fan jo ferwachte wurde kin om de oanbelangjende meiwurkers sels gjin skea te dwaan. Jo befinings moatte inkeld rjochte wêze op it oantoanen fan dúdlike brekmen yn de prosedueren en wurkwize binnen de gemeente en net op it skea dwaan fan yndividuele persoanen dy’t by de gemeente wurksum binne.
- It iepenbier meitsjen of oan tredden ferstrekken fan ynformaasje oer it befeiligingsprobleem foardat it oplost is.
- It ferrjochtsjen fan hannelingen dy’t fierder geane as wat strikt needsaaklik is om it befeiligingsprobleem oan te toanen en te melden. Yn it bysûnder dêr’t it giet om it ferwurkjen (dêrûnder it ynsjen of kopiearjen) fan fertroulike gegevens dêr’t jo troch de kwetsberens tagong ta hân hawwe. Yn stee fan in folsleine database te kopiearjen, kinne jo gewoanwei folstean mei bygelyks in directory listing. It wizigjen of ferwiderjen fan gegevens yn it systeem is nea tastien.
- It iepenbier meitsjen of oan tredden ferstrekken fan gegevens mei in fertroulik karakter, lykas privacygefoelige gegevens.
- It gebrûk meitsjen fan techniken dêr’t de beskikberens en/of brûkberens fan it systeem of services mei fermindere wurdt (DoS-oanfallen).
- It op hokfoar (oare) wize dan ek misbrûk meitsjen fan de kwetsberens.
Wat jo ferwachtsje meie
- Wannear’t jo oan alle boppesteande betingsten foldogge, dogge wy gjin strafrjochtlike oanjefte tsjin jo en spanne wy ek gjin sivylrjochtlike saak tsjin jo oan.
- As bliken docht dat jo jo net oan ien fan de betingsten hâlden hawwe, kinne wy lykwols noch beslute om gerjochtlike stappen tsjin jo te ûndernimmen. Wy behannelje in melding fertroulik en diele persoanlike gegevens fan in melder net sûnder syn tastimming mei tredden, of it moat wêze dat wy dêr neffens de wet of in rjochterlike útspraak ta ferplichte binne.
- Wy diele de ûntfongen melding altyd mei de Ynformaasjebefeiligingstsjinst foar gemeenten (IBD). Sa boargje wy dat gemeenten harren ûnderfinings op dit mêd mei-inoar diele. Yn ûnderling oerlis kinne wy, as jo dat winskje, jo namme fermelde as de ûntdekker fan de melde kwetsberens. Yn alle oare gefallen bliuwe jo anonym.
- Wy stjoere jo binnen 1 wurkdei in (automatyske) ûntfangstbefêstiging.
- Wy reagearje binnen 3 wurkdagen op in melding mei in (earste) beoardieling fan de melding en eventueel in ferwachte datum foar in oplossing.
- Wy losse it troch jo melde befeiligingsprobleem sa gau mooglik op. Dêrby stribje wy dernei om jo goed op de hichte te hâlden fan de fuortgong en nea langer as 90 dagen te dwaan oer it oplossen fan it probleem. Wy binne dêrby faak wol mei ôfhinklik fan taleveransiers.
Yn ûnderling oerlis kin bepaald wurde oft en op hokker wize oer it probleem publisearre wurdt, nei’t it oplost is.