/Kwetsbaarheid melden (Coordinated Vulnerability Disclosure)

Kwetsbaarheden in ICT-systemen melden

Bijgewerkt op: 13 december 2024

Het Interprovinciaal Overleg (IPO) en BIJ12 vinden de veiligheid van onze ICT-systemen belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden, horen wij dit graag. Zodat we zo snel mogelijk maatregelen kunnen treffen.

Hoe kan ik een zwakke plek in een ICT-systeem van het Interprovinciaal Overleg (IPO) en BIJ12 melden?

Een zwakke plek in een ICT-systeem van het Interprovinciaal Overleg (IPO) of BIJ12 kunt u melden via het sturen van een e-mailbericht naar: security@bij12.nl. De publieke PGP sleutel kunt u hier vinden.

Het Interprovinciaal Overleg (IPO) en BIJ12 doen een dringend beroep op de melder om de gevonden ICT kwetsbaarheid eerst aan het Interprovinciaal Overleg (IPO) en BIJ12 te melden. Na onderzoek zal het Interprovinciaal Overleg (IPO) en BIJ12 de noodzakelijke maatregelen te treffen. Na de melding besluit het Interprovinciaal Overleg (IPO) en BIJ12 of de gemelde kwetsbaarheid openbaar wordt gemaakt.

Waar moet u aan denken bij Coordinated Vulnerability Disclosure?

Bij het formuleren van een melding over een kwetsbaarheid in een ICT-systeem van het Interprovinciaal Overleg (IPO) en BIJ12, denk aan de volgende zaken:

  • Geef voldoende informatie zodat de provinciale organisatie in staat is om het probleem te reproduceren. Zo kan het Interprovinciaal Overleg (IPO) en BIJ12 het probleem detecteren en zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen ICT-systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan het nodig zijn om meer informatie mede te delen;
  • Laat contactgegevens (e-mailadres en/of telefoonnummer) achter zodat het Interprovinciaal Overleg (IPO) en BIJ12 in staat is om contact op te nemen;
  • Meld zo snel mogelijk na ontdekking van de kwetsbaarheid;
  • Deel de informatie over de ICT kwetsbaarheid niet met anderen totdat het is opgelost;
  • Ga verantwoordelijk om met de kennis over de gemelde kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om de kwetsbaarheid aan te tonen;
  • Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt het Interprovinciaal Overleg (IPO) en BIJ12 geen juridische consequenties aan de melding;
  • Als blijkt dat u bovenstaande voorwaarden toch heeft geschonden, dan kan het Interprovinciaal Overleg (IPO) en BIJ12 alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als een ICT kwetsbaarheid is ontdekt, maak er dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen;
  • Gegevens in een ICT systeem te kopiëren, wijzigen of verwijderen;
  • Zelf veranderingen aan te brengen in het betreffende ICT systeem;
  • Herhaaldelijk toegang te verkrijgen tot het ICT systeem of de toegang te delen met anderen;
  • Gebruik te maken van het zogeheten ‘brute force’ om toegang tot systemen te verkrijgen;
  • Andere personen te informeren over de ICT kwetsbaarheid;
  • Gebruik te maken van denial-of-service of social engineering.

Wat doen het Interprovinciaal Overleg (IPO) en BIJ12 met uw melding?

Heeft u een melding geplaatst in de daarvoor bestemde ticketsysteem van een zwakke plek in een ICT-systeem? Het Interprovinciaal Overleg (IPO) en BIJ12 behandelen deze melding als volgt:

  • U krijgt binnen 2 werkdagen een ontvangstbevestiging van het Interprovinciaal Overleg (IPO) en BIJ12;
  • U krijgt binnen 5 werkdagen een reactie op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing;
  • U wordt als melder op de hoogte van de voortgang van het oplossen van het probleem gehouden;
  • Het Interprovinciaal Overleg (IPO) en BIJ12 lost het beveiligingsprobleem zo snel mogelijk op, uiterlijk binnen 90 dagen. Het Interprovinciaal Overleg (IPO) en BIJ12 zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost;
  • Het Interprovinciaal Overleg (IPO) en BIJ12 kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid;
  • Het Interprovinciaal Overleg (IPO) en BIJ12 behandelt uw melding vertrouwelijk en deelt persoonlijke gegevens niet zonder uw toestemming met derden, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.

Kwetsbaarheid in een ICT-systeem buiten het Interprovinciaal Overleg (IPO) en BIJ12 ontdekt?

Ontdekt u een kwetsbaarheid in een ICT-Systeem wat niet onder de verantwoordelijkheid van het Interprovinciaal Overleg (IPO) en BIJ12 valt? Benader dan eerst de betreffende instantie.

Reageert de betreffende organisatie niet of niet goed? Dan kunt u het Nationaal Cyber Security Centrum (NCSC)Deze link opent in een nieuw tabblad op de hoogte brengen. Zij zullen dan de rol van intermediair op zich nemen.

English translation: Reporting Vulnerabilities in ICT Systems (Coordinated Vulnerability Disclosure)

Interprovincial Overleg (IPO) and BIJ12 consider the security of our ICT systems to be important. Despite our commitment to security, it is possible that vulnerabilities may exist. If you have discovered a weakness in one of our systems, we would like to hear about it, so we can take action as soon as possible.

How can I report a vulnerability in an ICT system of IPO or BIJ12?

You can report a vulnerability in an ICT system of IPO or BIJ12 by sending an email to: security@bij12.nlDeze link opent in een nieuw tabblad. You can find the public PGP key hereDeze link opent in een nieuw tabblad.

IPO and BIJ12 strongly urge reporters to first report any discovered ICT vulnerability to IPO and BIJ12. After investigation, IPO and BIJ12 will take the necessary measures. Following the report, IPO and BIJ12 will decide whether the reported vulnerability will be made public.

What should you consider when engaging in Coordinated Vulnerability Disclosure?

When formulating a report about a vulnerability in an ICT system of IPO or BIJ12, consider the following:

  • Provide enough information for the provincial organization to reproduce the problem. This usually includes the IP address or URL of the affected ICT system and a description of the vulnerability. For more complex vulnerabilities, additional information may be necessary.
  • Leave contact details (email address and/or phone number) so IPO and BIJ12 can reach out to you.
  • Report as soon as possible after discovering the vulnerability.
  • Do not share information about the ICT vulnerability with others until it has been resolved.
  • Handle the knowledge of the disclosed vulnerability responsibly. Do not perform actions beyond what is necessary to demonstrate the vulnerability.
  • If you meet these conditions with your report, IPO and BIJ12 will not attach any legal consequences to the report.
  • If it turns out that you have violated the above conditions, IPO and BIJ12 may still decide to take legal action against you.

Do not exploit a vulnerability in an ICT system.

If an ICT vulnerability is discovered, do not exploit it, for example, by:

  • Installing malware;
  • Copying, altering, or deleting data in an ICT system;
  • Making changes to the relevant ICT system;
  • Gaining repeated access to the ICT system or sharing access with others;
  • Using brute force to gain access to systems;
  • Informing others about the ICT vulnerability;
  • Utilizing denial-of-service attacks or social engineering.

What will IPO and BIJ12 do with your report?

If you submit a report about a vulnerability in an ICT system via the designated ticket system, IPO and BIJ12 will handle it as follows:

  • You will receive an acknowledgment from IPO and BIJ12 within 2 business days;
  • You will receive a response to your report within 5 business days. This response will include an assessment of the report and an expected date for a resolution;
  • You will be kept informed about the progress of resolving the issue;
  • IPO and BIJ12 will address the security issue as quickly as possible, no later than 90 days. They will work with you to determine whether and how the reported issue will be communicated. Communication will occur only after the issue has been resolved;
  • IPO and BIJ12 may, if you so wish, mention your name as the discoverer of the reported vulnerability;
  • IPO and BIJ12 will treat your report confidentially and will not share personal data with third parties without your consent, unless legally obligated or required by a court order.

Discovered a vulnerability in an ICT system outside of IPO and BIJ12?

If you discover a vulnerability in an ICT system that is not under the responsibility of IPO and BIJ12, please contact the relevant organization first.

If the organization does not respond satisfactorily, you can inform the Dutch National Cyber Security Centre (NCSC)Deze link opent in een nieuw tabblad. They will take on the role of intermediary.