Melden Kwetsbaarheden

Responsible Disclosure

Veiligheidsregio Zeeland vindt de beveiliging van haar systemen erg belangrijk. Ondanks de beveiliging van de systemen, inhoud en gegevens, kan het voorkomen dat er een zwakke plek is. Indien een kwetsbaarheid is gevonden in één van de ICT-systemen van Veiligheidsregio Zeeland horen wij dit graag direct. Op deze manier kunnen wij maatregelen nemen om dit te verhelpen. Daarvoor werken we graag met jou samen om onze systemen beter te kunnen beschermen.

Veiligheidsregio Zeeland hanteert voor deze meldingen de Responsible Disclosure principes oftewel het melden van kwetsbaarheden. Dit betekent dat verantwoordelijk met de kwetsbaarheid omgegaan wordt, zowel door de melder als ontvanger van de melding. Op deze manier kunnen wij de juiste maatregelen tijdig nemen.

Hoe een gevonden beveiligingslek te melden?
Stuur een naar security@vrzeeland.nl. Geef hierbij voldoende informatie mee zoals een uitgebreide beschrijving, inclusief IP-adressen, URL, logs, hoe te reproduceren, screenshots, et cetera. Zo kunnen wij de melding zo effectief mogelijk behandelen.
We nemen binnen twee werkdagen contact met je op om afspraken te maken over een redelijke herstelperiode en een eventuele gecoördineerde publicatie van het beveiligingslek.
Uiteraard houden we je op de hoogte van de voortgang van het oplossen van het probleem. Vermeld daarom in de melding een mailadres of telefoonnummer. Zo kunnen we makkelijk contact op nemen.
Belangrijk is om de informatie over de kwetsbaarheid niet verder de delen met anderen en dat geen misbruik wordt gemaakt van de beveiligingskwetsbaarheid. Indien dit toch gebeurt, kan dit mogelijk leiden tot aangifte.

Belangrijk
Dit is geen uitnodiging om ons netwerk of onze systemen actief te scannen op zwakke plekken.  Vermijd bij het onderzoek naar de kwetsbaarheid altijd de volgende handelingen:

  • Plaatsen van malware.
  • Kopiëren, aanpassen of verwijderen van gegevens in een systeem.
  • Aanbrengen van veranderingen in het systeem.
  • Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Gebruik maken van ‘brute force’ om toegang tot een systeem te verkrijgen.
  • Gebruik maken van denial-of-service of ‘social engineering’.

Alvast bedankt voor je oplettendheid.