Kwetsbaarheid melden (CVD)

Vindt u een technische kwetsbaarheid in een systeem van de Rijksoverheid? Dan kunt u dit melden bij het NCSC. Het maken van zo'n melding heet Coordinated Vulnerability Disclosure (CVD). Vindt u een kwetsbaarheid in een systeem of product dat niet van de Rijksoverheid is? Dan is de gouden regel dat u eerst zelf de eigenaar van het systeem of de productleverancier benadert. Pas als deze organisatie niet of niet goed reageert, kunt u het NCSC op de hoogte brengen. Wij nemen dan de rol van intermediair op ons om de kwetsbaarheid alsnog bij de desbetreffende organisatie onder de aandacht te brengen. Voor vragen en opmerkingen die niet gerelateerd zijn aan cybersecurity, kunt u contact opnemen met de Rijksoverheid via de contactpagina op rijksoverheid.nl.

Naast bovenstaande kunt u ook bij het NCSC terecht voor kwetsbaarheden die meerdere systemen of leveranciers raken. Het NCSC kan het laten oplossen van zo'n kwetsbaarheid coördineren. U kunt de kwetsbaarheid melden via het CVD-formulier. Wij zullen vervolgens contact met u opnemen voor het afstemmen van de coördinatie.

Voor welke kwetsbaarheden kunt u een CVD-melding bij ons maken?

U kunt bij ons kwetsbaarheden melden die een risico vormen voor de beveiliging van een systeem. Voorbeelden hiervan zijn kwetsbaarheden die het mogelijk maken om een login-formulier te omzeilen of op een onbedoelde manier toegang te krijgen tot een database met persoonsgegevens.

Niet elke afwijking in een systeem is een kwetsbaarheid. Over het algemeen leiden de volgende afwijkingen niet tot een onveilige situatie. We willen u daarom vriendelijk vragen om voor onderstaande afwijkingen geen CVD-melding bij ons te maken:

  • Een afwijking die geen impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie.
  • De beschikbaarheid van Wordpress xmlrpc.php-functionaliteit wanneer misbruik ervan beperkt is tot een zogenaamde ping-back denial-of-service.
  • De mogelijkheid tot cross-site scripting op een statische website of op een website waarop geen gevoelige (gebruikers)informatie wordt verwerkt.
  • De beschikbaarheid van versie-informatie via bijvoorbeeld een info.php-bestand. Een mogelijke uitzondering hierop is wanneer uit de versie-informatie blijkt dat het systeem gebruikmaakt van software met bekende kwetsbaarheden.
  • De afwezigheid van HTTP security headers zoals gebruikt door onder andere Cross-Origin Resource Sharing (CORS), tenzij deze afwezigheid aantoonbaar tot een beveiligingsprobleem leidt.

Wanneer u twijfelt of de afwijking die u heeft gevonden onder een van bovenstaande uitzonderingen valt, kunt u deze afwijking uiteraard gewoon bij ons melden. Wij zullen vervolgens bepalen of het om een kwetsbaarheid gaat en de juiste vervolgacties uitzetten.

Hoe doet u een CVD-melding bij ons?

Wij vragen u de volgende procedure te volgen:

  • Vul het CVD-formulier in met uw bevindingen. Eventueel kunt u gebruikmaken van onze PGP-key om uw melding aanvullend te versleutelen.
  • Beschrijf in uw melding zo duidelijk mogelijk hoe het probleem kan worden gereproduceerd; dit draagt bij aan een snelle oplossing. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn. Wij nemen daarover dan contact met u op.
  • Laat ten minste een e-mailadres of telefoonnummer achter zodat wij bij vragen contact met u kunnen opnemen. Communicatie via e-mail heeft onze voorkeur.

Zorg ervoor dat:

  • U de melding zo snel mogelijk na ontdekking van de kwetsbaarheid doet.
  • U de informatie over het beveiligingsprobleem niet met anderen deelt totdat u van ons hoort of het is opgelost.
  • U verantwoordelijk omgaat met de kennis over het beveiligingsprobleem, bijvoorbeeld door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

Wat moet u niet doen?

Vermijd altijd de volgende handelingen:

  • Plaatsen van malware.
  • Kopiëren, wijzigen of verwijderen van gegevens in een systeem.
  • Aanbrengen van veranderingen in het systeem.
  • Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Gebruikmaken van 'brute force' om toegang tot een systeem te verkrijgen.
  • Gebruikmaken van denial-of-service of 'social engineering'.

De uitgangspunten van ons CVD-beleid

  • Wanneer u de melding volgens de procedure doet, hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij behandelen uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Alleen met uw toestemming vermelden wij uw naam als de ontdekker van de gemelde kwetsbaarheid.
  • Wij sturen u binnen één werkdag een bevestiging van ontvangst. Binnen drie werkdagen reageren wij op uw melding met de beoordeling van de melding. Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • Het NCSC streeft ernaar het door u gemelde beveiligingsprobleem in een systeem uiterlijk binnen 60 dagen op te laten lossen. In overleg bepalen we, na oplossen van het probleem, of en op welke wijze erover wordt gepubliceerd.
  • Het NCSC biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot cadeaubonnen. Het moet wel gaan om een voor het NCSC nog onbekend en serieus beveiligingsprobleem.