Informatie van de Rijksoverheid | Rijksoverheid.nl

Responsible disclosure

Het Nationaal Cyber Security Centrum (NCSC) draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht en het bieden van handelingsperspectief. Uiteraard vindt het NCSC het ook erg belangrijk dat de eigen ICT-systemen veilig zijn en streeft het een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt.

Kwetsbaarheden in ICT-systemen van het NCSC

Indien u een zwakke plek in een van de ICT-systemen van het NCSC heeft gevonden, vernemen wij dit graag van u zodat zo snel mogelijk de benodigde maatregelen kunnen worden getroffen. Het NCSC wil graag met u samenwerken om de veiligheid van de eigen ICT-systemen nog beter te kunnen beschermen. Met het oog hierop voert het NCSC onderstaand beleid inzake de omgang met meldingen van door u geconstateerde kwetsbaarheden in de ICT-systemen van het NCSC. Hieraan mag u het NCSC houden wanneer u een zwakke plek aantreft in een van de systemen.

Wij vragen u:

  • Uw bevindingen te mailen naar cert@ncsc.nl. Versleutel uw bevindingen indien mogelijk met de PGP-sleutel van het NCSC om te voorkomen dat informatie in verkeerde handen valt.
  • Voldoende informatie te geven om het probleem te reproduceren zodat het NCSC het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat het NCSC met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd dus in elk geval de volgende handelingen:

  1. het plaatsen van malware.
  2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  3. het aanbrengen van veranderingen in het systeem.
  4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  5. het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  6. het gebruik maken denial-of-service of social engineering.

Wat u mag verwachten:

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ict-systeem van het NCSC aan bovenstaande voorwaarden voldoet, zal het NCSC geen juridische consequenties verbinden aan deze melding.
  • Het NCSC behandelt een melding vertrouwelijk en deelt persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kan het NCSC, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Het NCSC stuurt u binnen 1 werkdag een ontvangstbevestiging.
  • Het NCSC reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Het NCSC houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Het NCSC lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
  • Het NCSC biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot maximaal een bedrag van 300 euro aan cadeaubonnen. Het moet hierbij wel gaan om een voor het NCSC nog onbekend en serieus beveiligingsprobleem.

Kwetsbaarheden in ICT-systemen van derden:

Wij horen het ook graag als u een zwakke plek heeft gevonden in een systeem van de overheid of in een systeem met een vitale functie. Voor systemen van andere eigenaren/beheerders en of leveranciers dient u in eerste instantie de organisatie zelf te benaderen. Indien de organisatie niet, of niet goed reageert kunt u het NCSC op de hoogte brengen. Hierbij zullen wij een rol als intermediair op ons nemen om gezamenlijk tot een resultaat te komen.

Voor meldingen over systemen van derden:

  • Benadert u eerst de eigenaar, bij voorkeur op de wijze zoals vastgelegd in het door de organisatie opgestelde responsible disclosure beleid. Indien de organisatie niet, of niet goed reageert op uw melding kunt u een melding bij het NCSC doen zodat wij kunnen optreden als intermediair.
  • Reageert het NCSC binnen 3 werkdagen op een melding door contact op te nemen met de eigenaar en u een reactie te geven.
  • Is de eigenaar primair verantwoordelijk om de melder op de hoogte te houden van de voortgang van het oplossen van het probleem.
  • Zullen wij de eigenaar helpen met advies zodat het beveiligingsprobleem zo snel mogelijk verholpen kan worden.
  • Vragen wij u om ons informatie door te geven of en hoe er al contact is geweest met de organisatie.

Meer informatie

Het ministerie van Veiligheid en Justitie heeft een algemene leidraad om te komen tot responsible disclosure gepubliceerd. Deze leidraad helpt organisaties bij het opstellen van een eigen responsible disclosure beleid. Daarnaast geeft het melders een handreiking hoe te handelen bij het vinden en melden van een kwetsbaarheid.

Wat is het NCSC?

CSBN 2017

Nederland digitaal veilig