Zwakke plek ICT-systemen melden

De gemeente hecht veel belang aan de beveiliging van haar ICT-systemen. Ondanks alle voorzorgmaatregelen blijft het mogelijk dat er een zwakke plek in de systemen te vinden is. Mocht u een zwakke plek in één van onze systemen vinden? Dan hoort de gemeente dit graag van u. De gemeente neemt dan snel maatregelen om het lek te dichten.

  • Meld de gevonden kwetsbaarheid via: incident@rijswijk.nl. Zijn de gegevens van ernstige of vertrouwelijke aard? Dan kunt u dit melden via hetzelfde e-mailadres door gebruik te maken van de versleutelde mail service.
  • Dien uw melding zo snel mogelijk na de ontdekking van de kwetsbaarheid in.
  • Geef de gemeente voldoende informatie om de kwetsbaarheid te reproduceren en de tijd om de kwetsbaarheid te onderzoeken en te verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Laat uw contactgegevens achter, zodat de gemeente contact met u kan opnemen (minimaal 1 e-mailadres of telefoonnummer). Melden onder een pseudoniem is mogelijk, mits de gemeente verder met u contact kan onderhouden.

Niet toegestaan

In het algemeen verwacht de gemeente dat u zich passend gedraagt en geen misbruik maakt van de gevonden kwetsbaarheid. De volgende handelingen zijn niet toegestaan:

  • Gebruik van social engineering of aanvallen op fysieke beveiliging om zich op die wijze toegang te verschaffen tot het systeem.
  • Programmatuur in een informatiesysteem plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen (malware). Daarmee kan aanvullende schade worden aangericht en worden onnodige veiligheidsrisico's gelopen.
  • Gebruik van een gevonden kwetsbaarheid dat verder gaat dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Gegevens van het systeem kopiëren, wijzigen of verwijderen. Een alternatief hiervoor is het maken van een directory listing of screenshot van een systeem.
  • Veranderingen in het systeem aanbrengen.
  • Herhaaldelijk toegang tot het systeem verkrijgen.
  • Gebruikmaken van het zogeheten distributed denial of service (dDOS), spam of 'bruteforcen' van toegang tot systemen. De beschikbaarheid en/of bruikbaarheid van systemen moeten in stand blijven.
  • Meer data downloaden dan nodig is om het lek aan te tonen. Wees zorgvuldig met gegevens van derden door deze gegevens niet in te kijken, te verwijderen of aan te passen.
  • Informatie over de kwetsbaarheid met anderen delen. Deel de informatie over de kwetsbaarheid pas nadat de gemeente het lek heeft gedicht en u daarover heeft bericht. Deel geen vertrouwelijke gegevens die u verkregen heeft. Wis de gegevens direct na het dichten van het lek.

De gemeente belooft

  • Als u zich aan bovenstaande voorwaarden houdt, onderneemt de gemeente geen strafrechtelijke of civielrechtelijke stappen tegen u. Als blijkt dat u een voorwaarde toch heeft geschonden, kan de gemeente alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
  • De gemeente behandelt uw melding vertrouwelijk en deelt uw persoonlijke gegevens niet zonder uw toestemming met derden. Tenzij dat wettelijk gezien of door een gerechtelijke uitspraak nodig is. 
  • De gemeente reageert binnen 5 werkdagen op uw melding met een beoordeling van uw melding en de verwachte oplossingsdatum.
  • De gemeente houdt u op de hoogte van de voortgang van de oplossing van de kwetsbaarheid. In berichtgeving over de kwetsbaarheid vermeldt de gemeente - als u dat wenst - uw naam als ontdekker.
  • De gemeente kan u - als eerste melder van de kwetsbaarheid - een beloning bieden als dank voor uw hulp. De beloning is afhankelijk van de ernst van het lek, of het lek eerder is gemeld en de kwaliteit van de melding. Dit wordt per melding bepaald.

Publicaties

De gemeente streeft ernaar alle kwetsbaarheden zo snel mogelijk op te lossen. Wilt u publiceren over de kwetsbaarheid? Doe dit dan nadat de kwetsbaarheid is opgelost. De gemeente is graag vooraf betrokken bij deze publicaties.