Verantwoorde openbaarmaking (responsible disclosure)

De spelregels

De melder en de gemeente houden zich samen aan de volgende CVD-spelregels (Coordinated Vulnerability Disclosure):

  1. Een zwakke plek in een van onze systemen kan gemeld worden door een e-mail te sturen naar IB.AVG@katwijk.nl, met een goede omschrijving zodat wij de kwetsbaarheid kunnen reproduceren.
  2. Het vinden van kwetsbaarheden kan gepaard gaan met het overtreden van de wet. Uitgangspunt is dat de gemeente in principe geen aangifte doet of andere juridische stappen onderneemt als er binnen de gestelde voorwaarden (deze spelregels) onderzocht of gemeld wordt.
  3. De melder is verantwoordelijk voor het eigen handelen en de wijze waarop de kwetsbaarheid ontdekt is.
  4. Het is de eigen verantwoordelijkheid van de melder om op de hoogte te zijn van de CVD-spelregels.
  5. Mocht de melder toch besluiten af te wijken van de CVD-spelregels, door bijvoorbeeld de kwetsbaarheid volledig openbaar te maken (full disclosure) of te verkopen of er zelf gebruik van te maken (non-disclosure), dan zal alsnog aangifte gedaan worden.
  6. De communicatie tussen melder en de co├Ârdinator van de gemeente is vertrouwelijk.
  7. Toegestaan onderzoek: alle openbare ingangen van de gemeente; websites, e-mails en teams/sharepoint.
  8. Het is niet toegestaan om de fysieke beveiliging aan te vallen, social engineering, distributed denial of service, spam of applicaties van derden.
  9. Na het melden van een kwetsbaarheid draagt een melder de verantwoordelijkheid over aan de gemeente Katwijk.
  10. De melder ontvangt een ontvangstbevestiging van de melding, tenzij het om een anonieme melding gaat.
  11. Indien mogelijk (niet anoniem) worden in overleg met de melder afspraken gemaakt over eventuele bekendmakingstermijnen.
  12. De melder wordt binnen 28 dagen geïnformeerd over het verloop van de melding.
  13. Met de melder worden afspraken gemaakt over het breder verspreiden van de melding.
  14. Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem in de vorm van een T-shirt als de melder zijn adres bekend wil maken. Wij streven ernaar om alle problemen zo snel mogelijk op te lossen.

Mocht er onduidelijkheid bestaan over onze CVD, dan volgen we wat het NCSC hierover heeft geschreven in de brochure: Leidraad Coordinated Vulnerability Disclosure

Coordinated Vulnerability Disclosure (CVD) Game Rules

The CVD rules are an addition to existing information security measures.

Together between the reporting party and the municipality, we adhere to the following CVD rules.

  1. A weak spot in one of our systems can be reported by sending an e-mail to IB.AVG@katwijk.nl, with a good description so that we can reproduce the vulnerability.
  2. Finding vulnerabilities may involve breaking the law. The starting point is that, in principle, the municipality will not file a report or take any other legal action if an investigation or report is made within the set conditions, these rules.
  3. The reporter is responsible for his own actions and the way in which the vulnerability was discovered.
  4. It is the reporter's own responsibility to be aware of the CVD rules.
  5. Should the reporter decide to deviate from the CVD rules, for example by fully disclosing the vulnerability (full disclosure) or selling it or using it themselves (non-disclosure), then a report will be filed.
  6. The communication between the reporter and the coordinator of the municipality is confidential.
  7. Permitted research: All public entrances of the municipality; websites, e-mails and teams/sharepoint.
  8. You may not use attacks against physical security, social engineering, distributed denial of service, spam or third-party applications.
  9. After reporting a vulnerability, a reporter transfers responsibility to the municipality of Katwijk.
  10. The reporter receives a confirmation of receipt, unless it concerns an anonymous report.
  11. If possible (not anonymously), agreements will be made in consultation with the reporter about any disclosure periods.
  12. The reporter will be informed within 28 days about the progress of the report.
  13. Agreements are made with the reporter about the wider dissemination of the report.
  14. As a thank you for your help, we offer a reward for every report of a security problem unknown to us in the form of a T-shirt if the reporter wants to disclose his address. We strive to resolve the reported vulnerability as soon as possible.

If there is an insecurity within our CVD, we will follow the guidline NCSC: Coordinated Vulnerability Disclosure