Responsible Disclosure
De gemeente Waalwijk neemt uitgebreide maatregelen om haar computersystemen te beveiligen. Toch kan een zwakke plek in de systemen voorkomen. Als iemand zo’n zwakke plek ontdekt, hoort de gemeente dit graag. Er worden dan snel gepaste maatregelen genomen.
Melden zwakke plek ICT omgeving
Door het melden van een zwakke plek verklaart de melder zich akkoord met onderstaande afspraken over responsible disclosure. De gemeente Waalwijk handelt de melding volgens onderstaande afspraken af.
- Gebruik het formulier beveiligingslek of datalek melden. Beschrijf het probleem zo duidelijk en compleet mogelijk zodat het snel opgelost kan worden. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende.
- De gemeente staat open voor tips, die helpen om het probleem op te lossen. Benoem alleen feitelijkheden die betrekking hebben op de kwetsbaarheid.
- Laat contactgegevens achter zodat we contact op kunnen nemen, om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres, websiteadres of telefoonnummer achter.
- Dien de melding zo snel mogelijk in, na ontdekking van de kwetsbaarheid.
De volgende handelingen zijn niet toegestaan
- Het plaatsen van malware op de systemen van gemeente Waalwijkof die van anderen.
- Het zogeheten “bruteforcen” van toegang tot systemen.
- Het gebruik maken van social engineering.
- Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost.
- Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is, om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens.
- Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Het openbaar maken of aan derden verstrekken van gegevens met een vertrouwelijk karakter, zoals privacygevoelige gegevens.
- Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat mag je als melder verwachten
- De gemeente behandelt een melding vertrouwelijk en deelt persoonlijke gegevens van een melder niet zonder diens toestemming met derden, tenzij de gemeente daar volgens de wet of een rechterlijke uitspraak toe verplicht is.
- De gemeente reageert binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
- De gemeente lost het gemelde beveiligingsprobleem zo snel mogelijk op.
- Een ontdekte kwetsbaarheid mag pas worden gepubliceerd als de aanmelder en gemeente Waalwijk hierover overeenstemming hebben.
- Het bepalen of een beloning van toepassing is en welke beloning aangeboden wordt, doen wij op basis van het risico van het beveiligingsprobleem. Om in aanmerking te komen moet een melding terecht en nog niet eerder gemeld zijn, en de gemelde kwetsbaarheid moet significant zijn qua risico. Een beloning bestaat uit een typisch Waalwijks presentje; Er worden geen financiële vergoedingen uitgekeerd.
- Indien de melding geen beveiligingsprobleem betreft of een gering risico vormt, wordt mogelijk geen beloning verstrekt. Zie hieronder een niet-uitputtende lijst van kwetsbaarheden waarvoor geen beloning wordt uitgekeerd.
- De beloning voor een beveiligingsprobleem gaat naar de eerste melder bij dubbele meldingen. De gemeente Waalwijk bepaalt of meldingen dubbel zijn en verstrekt geen inhoudelijke gegevens hierover.
Uitzonderingen van het beloningsprogramma
De gemeente Waalwijk kan, indien het gaat om een kwetsbaarheid met een laag of geaccepteerd risico, besluiten een melding niet te belonen. Hieronder staan enkele voorbeelden van dergelijke kwetsbaarheden. Deze lijst is niet uitputtend.
- HTTP 404-codes of andere niet HTTP 200-codes
- Toevoegen van platte tekst in 404-pagina’s
- Versiebanners op publieke services
- Publiek toegankelijke bestanden en mappen met niet-gevoelige informatie
- Clickjacking op pagina’s zonder inlogfunctie
- Cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn
- Ontbreken van ‘secure’ / ‘HTTP Only’ vlaggen op niet-gevoelige cookies
- Gebruik van de HTTP OPTIONS Method
- Host Header Injection
- Ontbreken van SPF, DKIM en DMARC records
- Ontbreken van DNSSEC
- Ontbrekende of incorrect toegepaste HTTP Security Headers, zoals:
- Strict-Transport-Security (HSTS)
- HTTP Public Key Pinning (HPKP)
- Content-Security-Policy (CSP)
- X-Content-Type-Options
- X-Frame-Options
- X-WebKit-CSP
- X-XSS-Protection