Zwakke plek ICT-systeem melden

De gemeente hecht veel belang aan de beveiliging van zijn ICT-systemen. Ondanks alle voorzorgmaatregelen blijft het mogelijk dat er een zwakke plek in de systemen te vinden is. Mocht u een zwakke plek in één van onze systemen vinden? Dan hoort de gemeente dit graag van u. De gemeente neemt dan snel maatregelen om het lek te dichten.

Wij vragen het volgende van u:

  • Meld de gevonden kwetsbaarheid via incident@delft.nl. Zijn de gegevens ernstig of vertrouwelijk? Dan kunt u dit melden via hetzelfde e-mailadres. Maak dan gebruik van de versleutelde mail service.
  • Dien uw melding zo snel mogelijk na de ontdekking van de kwetsbaarheid in.
  • Geef de gemeente voldoende informatie om de kwetsbaarheid te reproduceren. En de tijd om de kwetsbaarheid te onderzoeken en te verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Laat uw contactgegevens achter, zodat de gemeente contact met u kan opnemen (minimaal 1 e-mailadres of telefoonnummer). Melden onder een pseudoniem is mogelijk, mits de gemeente verder met u contact kan onderhouden.

Niet toegestaan

In het algemeen verwacht de gemeente dat u zich passend gedraagt. En geen misbruik maakt van de gevonden kwetsbaarheid. De volgende handelingen mogen niet:

  • Gebruik van social engineering of aanvallen op de fysieke beveiliging. Om zo toegang te krijgen tot het systeem.
  • Programmatuur in een informatiesysteem plaatsen om daarmee de kwetsbaarheid aan te tonen (malware). Daarmee kunt u aanvullende schade veroorzaken. En loopt de gemeente onnodige veiligheidsrisico’s.
  • Gebruik van een gevonden kwetsbaarheid dat verder gaat dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Gegevens van het systeem kopiëren, wijzigen of verwijderen. Een alternatief hiervoor is het maken van een directory listing of screenshot van een systeem.
  • Veranderingen in het systeem aanbrengen.
  • Herhaaldelijk toegang tot het systeem verkrijgen.
  • Gebruikmaken van het zogeheten distributed denial of service (dDOS), spam of 'bruteforcen' van toegang tot systemen. De beschikbaarheid en/of bruikbaarheid van systemen moeten in stand blijven.
  • Meer data downloaden dan nodig is om het lek aan te tonen. Wees zorgvuldig met gegevens van derden. Zorg dat u deze gegevens niet inkijkt, verwijdert of aanpast.
  • Informatie over de kwetsbaarheid met anderen delen. Deel de informatie over de kwetsbaarheid pas nadat de gemeente het lek heeft gedicht. En u daarover heeft bericht. Deel geen vertrouwelijke gegevens die u verkregen heeft. Wis de gegevens direct na het dichten van het lek.

De gemeente belooft:

  • Houdt u zich aan bovenstaande voorwaarden? Dan onderneemt de gemeente geen strafrechtelijke of civielrechtelijke stappen tegen u. Schendt u toch een voorwaarde? Dan kan de gemeente alsnog gerechtelijke stappen tegen u te ondernemen.
  • De gemeente behandelt uw melding vertrouwelijk en deelt uw persoonlijke gegevens niet zonder uw toestemming met derden. Tenzij dat wettelijk gezien of door een gerechtelijke uitspraak nodig is. 
  • De gemeente reageert binnen 5 werkdagen op uw melding. Met een beoordeling van uw melding en de verwachte oplossingsdatum.
  • De gemeente houdt u op de hoogte van de voortgang van de oplossing van de kwetsbaarheid. In berichtgeving over de kwetsbaarheid vermeldt de gemeente uw naam als ontdekker. Als u dat wenst.
  • De gemeente kan u - als eerste melder van de kwetsbaarheid - een beloning bieden als dank voor uw hulp. De beloning hangt van de ernst van het lek. En of iemand het lek al eerder heeft gemeld. Maar ook van de kwaliteit van de melding. Dit bepaalt de gemeente per melding.

Publicaties

De gemeente streeft ernaar alle kwetsbaarheden zo snel mogelijk op te lossen. Wilt u publiceren over de kwetsbaarheid? Doe dit dan nadat de gemeente de kwetsbaarheid heeft opgelost. De gemeente is graag vooraf betrokken bij deze publicaties.