Responsible Disclosure

Gemeente Smallingerland vindt de beveiliging van haar systemen en de website erg belangrijk. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat er een zwakke plek in de systemen of de website te vinden is.

Wanneer u een zwakke plek in één van onze systemen ontdekt, horen wij dat graag van u. Wij nemen dan snel maatregelen. Door het maken van een melding gaat u akkoord met onderstaande afspraken over Responsible Disclosure. Gemeente Smallingerland handelt uw melding volgens onderstaande afspraken af.

Wij vragen u het volgende

  • Mail uw bevindingen via een beveiligde mailvoorziening via https://transfer.smallingerland.nl naar de mailbox: incidenten@smallingerland.nl of vraag naar de security officer van gemeente Smallingerland via 0512-581234.
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer nodig.
  • Wij ontvangen graag tips die ons helpen het probleem op te lossen. Tips over de door u gemelde controleerbare bevindingen en kwetsbaarheden zijn voldoende. Advies in de vorm van reclame voor specifieke (beveiligings)producten wordt niet op prijs gesteld.
  • Laat uw contactgegevens achter, zodat we contact met u op kunnen nemen om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres of telefoonnummer achter.
  • Doe a.u.b. zo snel mogelijk een melding na ontdekking van de kwetsbaarheid.

De volgende handelingen zijn niet toegestaan

  • Het plaatsen van malware, zowel op onze systemen als op die van anderen;
  • Het zogeheten “bruteforcen” of kraken van toegang tot systemen, behalve als het echt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet. Dat wil zeggen wanneer het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd;
  • Het gebruik maken van social engineering, behalve wanneer het echt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen wanneer het volledig op legale wijze (dus niet via chantage of iets dergelijks) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. Ga hier wel zorgvuldig mee om, zodat de betreffende medewerkers zelf niet geschaad worden. Zorg dat uw bevindingen uitsluitend zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen gemeente Smallingerland en niet op het schaden van individuele personen die bij gemeente Smallingerland werken;
  • Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost;
  • Het verrichten van handelingen die verder gaan dan wat echt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, is bijvoorbeeld een directory listing voldoende. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan;
  • Het gebruikmaken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services minder wordt (DoS-aanvallen);
  • Het misbruik maken van de kwetsbaarheid, op welke manier dan ook.