Kwetsbaarheden in ICT-systemen melden (Coordinated Vulnerability Disclosure)

Het Interprovinciaal Overleg (IPO) en BIJ12 vinden de veiligheid van onze ICT-systemen belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden, horen wij dit graag. Zodat we zo snel mogelijk maatregelen kunnen treffen.

Hoe kan ik een zwakke plek in een ICT-systeem van het Interprovinciaal Overleg (IPO) en BIJ12 melden?

Een zwakke plek in een ICT-systeem van het Interprovinciaal Overleg (IPO) of BIJ12 kunt u melden via het sturen van een e-mailbericht naar: security@bij12.nl. De publieke PGP sleutel kunt u hier vinden.

Het Interprovinciaal Overleg (IPO) en BIJ12 doen een dringend beroep op de melder om de gevonden ICT kwetsbaarheid eerst aan het Interprovinciaal Overleg (IPO) en BIJ12 te melden. Na onderzoek zal het Interprovinciaal Overleg (IPO) en BIJ12 de noodzakelijke maatregelen te treffen. Na de melding besluit het Interprovinciaal Overleg (IPO) en BIJ12 of de gemelde kwetsbaarheid openbaar wordt gemaakt.

Waar moet u aan denken bij Coordinated Vulnerability Disclosure?

Bij het formuleren van een melding over een kwetsbaarheid in een ICT-systeem van het Interprovinciaal Overleg (IPO) en BIJ12, denk aan de volgende zaken:

  • Geef voldoende informatie zodat de provinciale organisatie in staat is om het probleem te reproduceren. Zo kan het Interprovinciaal Overleg (IPO) en BIJ12 het probleem detecteren en zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen ICT-systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan het nodig zijn om meer informatie mede te delen;
  • Laat contactgegevens (e-mailadres en/of telefoonnummer) achter zodat het Interprovinciaal Overleg (IPO) en BIJ12 in staat is om contact op te nemen;
  • Meld zo snel mogelijk na ontdekking van de kwetsbaarheid;
  • Deel de informatie over de ICT kwetsbaarheid niet met anderen totdat het is opgelost;
  • Ga verantwoordelijk om met de kennis over de gemelde kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om de kwetsbaarheid aan te tonen;
  • Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt het Interprovinciaal Overleg (IPO) en BIJ12 geen juridische consequenties aan de melding;
  • Als blijkt dat u bovenstaande voorwaarden toch heeft geschonden, dan kan het Interprovinciaal Overleg (IPO) en BIJ12 alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als een ICT kwetsbaarheid is ontdekt, maak er dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen;
  • Gegevens in een ICT systeem te kopiëren, wijzigen of verwijderen;
  • Zelf veranderingen aan te brengen in het betreffende ICT systeem;
  • Herhaaldelijk toegang te verkrijgen tot het ICT systeem of de toegang te delen met anderen;
  • Gebruik te maken van het zogeheten ‘brute force’ om toegang tot systemen te verkrijgen;
  • Andere personen te informeren over de ICT kwetsbaarheid;
  • Gebruik te maken van denial-of-service of social engineering.

Wat doen het Interprovinciaal Overleg (IPO) en BIJ12 met uw melding?

Heeft u een melding geplaatst in de daarvoor bestemde ticketsysteem van een zwakke plek in een ICT-systeem? Het Interprovinciaal Overleg (IPO) en BIJ12 behandelen deze melding als volgt:

  • U krijgt binnen 2 werkdagen een ontvangstbevestiging van het Interprovinciaal Overleg (IPO) en BIJ12;
  • U krijgt binnen 5 werkdagen een reactie op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing;
  • U wordt als melder op de hoogte van de voortgang van het oplossen van het probleem gehouden;
  • Het Interprovinciaal Overleg (IPO) en BIJ12 lost het beveiligingsprobleem zo snel mogelijk op, uiterlijk binnen 90 dagen. Het Interprovinciaal Overleg (IPO) en BIJ12 zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost;
  • Het Interprovinciaal Overleg (IPO) en BIJ12 kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid;
  • Het Interprovinciaal Overleg (IPO) en BIJ12 behandelt uw melding vertrouwelijk en deelt persoonlijke gegevens niet zonder uw toestemming met derden, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.

Kwetsbaarheid in een ICT-systeem buiten het Interprovinciaal Overleg (IPO) en BIJ12 ontdekt?

Ontdekt u een kwetsbaarheid in een ICT-Systeem wat niet onder de verantwoordelijkheid van het Interprovinciaal Overleg (IPO) en BIJ12 valt? Benader dan eerst de betreffende instantie.

Reageert de betreffende organisatie niet of niet goed? Dan kunt u het Nationaal Cyber Security Centrum (NCSC) op de hoogte brengen. Zij zullen dan de rol van intermediair op zich nemen.