Verantwoord melden van ICT kwetsbaarheden

De gemeente Leiden vindt de veiligheid van de computersystemen belangrijk. Ondanks onze zorg voor de beveiliging van die systemen, kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in onze systemen heeft gevonden, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen.

Zwakke plekken kunt u op twee manieren ontdekken:

  • u loopt ergens toevallig tegenaan bij normaal gebruik van een digitale omgeving;
  • u doet expliciet uw best om een zwakheid te vinden.

Wat vragen wij u?

Wij vragen van u om:

  • Het probleem zo snel mogelijk na ontdekking van de kwetsbaarheid te melden via dit webformulier.
  • Voldoende informatie te geven om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen.
  • Uw contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Het is ook mogelijk om anoniem te melden.

Wat mag u niet?

Het is niet toegestaan om op wat voor wijze dan ook misbruik te maken van de kwetsbaarheid. Het is niet toegestaan om:

  • Kwaadwillende software te plaatsen.
  • Wachtwoorden te kraken of te achterhalen.
  • Te proberen vertrouwelijke of geheime informatie via medewerkers van de gemeente te achterhalen.
  • Informatie over het beveiligingsprobleem openbaar te maken of aan derden te verstrekken voordat het is opgelost.
  • Gebruik te maken van technieken waarmee de beschikbaarheid of bruikbaarheid van het systeem wordt verminderd (DDOS-aanvallen).

Wat mag u van ons verwachten?

  • Indien u aan alle voorwaarden voldoet, doet de gemeente geen strafrechtelijke aangifte en start geen civielrechtelijke zaak tegen u.
  • Als blijkt dat u een van bovenstaande voorwaarden toch heeft geschonden, kan de gemeente alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
  • De gemeente behandelt een melding vertrouwelijk en deelt uw persoonlijke gegevens niet zonder uw expliciete toestemming met derden, tenzij de gemeente daar volgens de wet of een rechterlijke uitspraak toe verplicht is.
  • Afhankelijk van de ernst van het beveiligingsprobleem deelt de gemeente de ontvangen melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo borgen de gemeenten dat hun ervaringen op dit vlak worden gedeeld.
  • In onderling overleg kan de gemeente, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
  • De gemeente stuurt binnen een werkdag een (automatische) ontvangstbevestiging.
  • De gemeente reageert binnen drie werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
  • De gemeente lost het gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij houden wij u zo goed mogelijk op de hoogte van de voortgang. Wij streven ernaar om nooit langer dan 90 dagen over het oplossen van het probleem te doen. Wij zijn daarbij vaak wel mede afhankelijk van toeleveranciers.
  • In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.
  • De gemeente kan u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een eenvoudig ‘dankjewel’ tot een nader te bepalen bedrag. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.

Dank voor de melders

Gemeente Leiden wil de volgende mensen bedanken voor hun melding rond ICT-kwetsbaarheden:

  • Roy Jansen ontdekte dat de nieuwsbriefmodule MailPlus kwetsbaar was voor cross-site-scripting. Leverancier Blinker heeft dit lek inmiddels gedicht.
  • Ali Wamim Khan tipte de gemeente dat de formulierensoftware Toolkit e-formulieren kwetsbaar was. De leverancier Lost Lemon heeft deze kwetsbaarheid inmiddels verholpen.
  • Huzaifa Tahir meldde ons dat de gemeentelijke website kwetsbaar was voor clickjacking. Het hosting-bedrijf heeft dit inmiddels verholpen.
  • Elyesa in der Maur melde ons dat het gemeentelijk zaaksysteem kwetsbaar was voor cross-site-scripting. De leverancier Decos heeft, in nauwe samenwerking met de melder, de kwetsbaarheid inmiddels weten te verhelpen.