Responsible Disclosure

Gemeente Smellingerlân fynt de befeiliging fan har systemen en de webside tige wichtich. Nettsjinsteande alle foarsoarchsmaatregels bliuwt it mooglik dat der in swak plak yn de systemen op webside te finen is.

Wannear’t jo in swak plak yn ien fan ús systemen ûntdekke, dan hearre wy dat graach fan jo. Wy nimme dan fluch maatregels. Troch it meitsjen fan in melding geane jo akkoart mei ûndersteande ôfspraken oer Responsible Disclosure (ferantwurdlik iepenbier meitsje). Gemeente Smellingerlân hannelet jo melding neffens ûndersteande ôfspraken ôf.

Wy freegje jo it folgjende:

  • Mail jo befinings fia in befeilige mailfoarsjenning fiahttps://transfer.smallingerland.nl nei de mailbox: incidenten@smallingerland.nl of freegje nei de befeiligingsoffisier fan gemeente Smellingerlân fia (0512) 581 234.
  • Jou foldwaande ynformaasje om it probleem reprodusearje te kinnen, sadat wy it sa gau as mooglik oplosse kinne. Meastentiids is it IP-adres of de URL fan it troffen systeem en in omskriuwing fan it punt fan kwetsberens foldwaande, mar by kompleksere punten fan kwetsberens is bytiden mear nedich.
  • Wy ûntfange graach tips dy’t ús helpe kinne it probleem op te lossen. Tips oer de troch jo melde, kontrolearbere befinings en punten fan kwetsberens binne foldwaande. Advys yn de foarm fan reklame of foar spesifike (befeiligings)produkten wurdt net op priis steld.
  • Lit jo kontaktgegevens achter, sadat wy kontakt mei jo opnimme kinne om gear te wurkjen oan in feilich resultaat. Lit minimaal ien e-mailadres of telefoannûmer achter.
  • Doch asjebleaft sa gau as mooglik in melding nei it ûntdekken fan it punt fan kwetsberens.

De neikommende hannelingen binne net tastien:

  • It pleatsen fan ‘malware’, sawol op ús systemen as op dy fan oaren;
  • It saneamde ‘bruteforcen’ of kreakje fan tagong ta systemen, útsein wannear’t dat echt needsaaklik is om oan te toanen dat de befeiliging op dat mêd earnstich tekoart komt. Dat wol sizze, wannear’t it bysûnder ienfâldich is om mei iepenbiere en goed betelbere hardware en software in wachtwurd te kreakjen dêr’t it systeem earnstich mei kompromittearre wurde kin;
  • It brûken fan ‘social engineering’, útsein wannear’t it echt needsaaklik is om oan te toanen dat meiwurkers mei tagong ta gefoelige gegevens yn it algemien (earnstich) tekoart sjitte yn harren plicht dêr soarchfâldich mei om te gean. Dat wol sizze, wannear’t it op legale wize (dus net troch sjantaazje of sokssawat) yn it algemien te ienfâldich is om harren oer te heljen ta it útjaan fan sokke gegevens oan lju sûnder foech. Gean dêr wol soarchfâldich mei om, sadat de meiwurkers dêr’t it om giet sels net skea oandien wurdt. Soargje derfoar dat jo befinings allinnich rjochte binne op it oantoanen fan dúdlike tekoartkommings yn de prosedueres en wurkwize binnen gemeente Smellingerlân en net op it skea dwaan oan yndividuele persoanen dy’t by gemeente Smellingerlân wurkje;
  • It iepenbier meitsjen of oan tredden beskikber stelle fan ynformaasje oer it befeiligingsprobleem foardat it oplost is;
  • It útfiere fan hannelings dy’t fierder geane as wat echt needsaaklik is om it befeiligingsprobleem oan te toanen en te melden. Yn it bysûnder dêr’t it giet om it ferwurkjen (lykas it ynsjen of kopiearjen) fan fertroulike gegevens dêr’t jo troch it punt fan kwetsberens tagong ta hân hawwe. Yn plak fan in folsleine database te kopiearjen is bygelyks in ‘directory listing’ foldwaande. It wizigjen of fuortsmiten fan gegevens yn it systeem is nea tastien;
  • It brûken fan techniken dêr’t de beskikberens en/of brûkberens fan it systeem om de services minder wurdt (DoS- en DDoS-oanfallen);
  • It meitsjen fan misbrûk fan it punt fan kwetsberens, op hokker manier ek.