Coordinated Vulnerability Disclosure

Bij Rijnmond is sprake van Coordinated Vulnerability Disclosure (CVD), ook wel responsible disclosure genoemd. Dit is een werkwijze waarom verschillende organisaties en overheden omgaan met kwetsbaarheden in de ICT-infrastructuur.

Deze werkwijze houdt in dat als iemand een kwetsbaarheid ontdekt, hij of zij dit eerst bij de organisatie zelf meldt zodat dit opgelost kan worden.

Je kunt dit doen door te mailen naar rcsirt[at]rijnmond.nl ([at] vervangen voor @).

Waar moet ik aan denken als ik een kwetsbaarheid wil melden?

  • Geef voldoende informatie zodat Rijnmond het probleem kan reproduceren. Op het moment dat dit mogelijk is, kan het probleem sneller worden opgelost;
  • Laat contactgegevens achter zodat Rijnmond contact met je op kan nemen;
  • Maak zo snel mogelijk na het ontdekken van de kwetsbaarheid een melding;
  • Deel de informatie van het beveilgingsprobleem niet met anderen totdat het is opgelost;
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Heb je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door

  • malware te plaatsen;
  • gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • veranderingen aan te brengen in het systeem;
  • herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • gebruik te maken van het zogeheten bruteforcen van toegang tot systemen;
  • gebruikt te maken van denial-of-service of social engineering.

Wat doet Rijnmond bij een Coordinated Vulnerability Disclosure

Heb je een melding gedaan van zwakke plek in ons ICT-systeem? Rijnmond behandelt dit als volgt:

  • Je krijgt binnen 3 (drie) werkdagen een ontvangstbevestiging van RTV Rijnmond;
  • Rijnmond reageert binnen 5 (vijf) werkdagen op de melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum van oplossing;
  • Rijnmond houdt jou als melder op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;
  • Rijnmond lost dit zo snel mogelijk op, maar uiterlijk binnen 60 (zestig) dagen. Na het oplossen zal Rijnmond samen met de melder bepalen of er over dit gemelde probleem wordt bericht.;
  • Rijnmond behandelt jouw melding vertrouwelijk. Dit betekent dat jouw persoonlijke gegevens niet worden gedeeld met derden, behalve als dit wettelijk of vanwege een rechterlijke uitspraak verplicht is. Rijnmond kan, als je dat wilt, wel jouw naam vermelden als de ontdekker van de kwetsbaarheid;
  • De bovenstaande procedure voor een CVD is gebaseerd op het beleid van het Nationaal Cyber Security Centrum (NCSC). Meer informatie hierover vind je op de site van het NCSC;