Overslaan en naar de inhoud gaan
InwonersProclaimer
Publicatiedatum: 31-01-2023 om 10:47 uur

Proclaimer

Coordinated Vulnerability Disclosure

GGD Brabant-Zuidoost hecht veel belang aan de veiligheid van haar (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Als je zo’n kwetsbaarheid ontdekt, kun je dit veilig aan ons melden. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure. Op deze manier kan GGD Brabant-Zuidoost beschermende maatregelen treffen.

Melding maken van een kwetsbaarheid
Als je een kwetsbaarheid hebt gevonden horen wij dit graag, zodat we zo snel als mogelijk maatregelen kunnen treffen. GGD Brabant-Zuidoost wil graag met je samenwerken om onze klanten en systemen nog beter te kunnen beschermen.

Wanneer je via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan jouw melding, indien je je houdt aan de volgende regels:

  • Verzeker je ervan dat jouw melding ‘in scope’ is. Op www.z-cert.nl/cvd-melden kun je controleren wat als niet ‘in scope’ wordt beschouwd
  • Je meldt jouw bevindingen bij Stichting Z-CERT. Gebruik hiervoor het mailtemplate dat je kunt vinden op www.z-cert.nl/cvd-melden. Stuur dit volledig ingevuld naar cvd@z-cert.nl. Je kunt hiervoor gebruik maken van de PGP-sleutel. Stichting Z-CERT handelt voor GGD Brabant-Zuidoost Coordinated Vulnerability Disclosure meldingen af. Zij werken samen met je als melder en met GGD Brabant-Zuidoost om te zorgen dat jouw melding wordt opgepakt
  • In jouw melding geef je voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk. Je kunt een proof of concept als bijlage meesturen
  • Je misbruikt de geconstateerde kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen
  • Als je vermoedt dat je via een kwetsbaarheid medische gegevens kan inzien, vragen wij je dit niet zelf te verifiëren, maar dit door ons te laten doen
  • Je deelt jouw bevindingen niet met anderen, voordat het is opgelost. Daarnaast vragen wij je om alle vertrouwelijke gegevens die je hebt verkregen, na het dichten van het lek, direct te wissen
  • Je doet geen aanval(len) op onze (fysieke) beveiliging d.m.v. social engineering, distributed denial of service, spam, brute-force aanvallen, applicaties van derden en/of andere typen aanvallen.

Hoe wij omgaan met jouw melding

  • GGD Brabant-Zuidoost en Z-CERT behandelen jouw melding vertrouwelijk en delen jouw persoonlijke gegevens niet met derden zonder jouw toestemming, tenzij dit wettelijk verplicht is
  • Je krijgt een ontvangstbevestiging van Z-CERT en binnen vijf werkdagen ontvang je een reactie op jouw melding met een beoordeling van de melding en een verwachte datum voor een oplossing
  • Als melder van het probleem houdt Z-CERT je op de hoogte van de voortgang van het oplossen van het probleem
  • In berichtgeving over het gemelde probleem zal GGD Brabant-Zuidoost, als je dit wenst, jouw naam vermelden als de ontdekker
  • Als dank voor jouw hulp biedt GGD Brabant-Zuidoost een beloning aan, afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding. GGD Brabant-Zuidoost is een non-profit instelling en biedt daarom geen geldelijke beloning voor gemelde beveiligingsproblemen.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen. Samen overleggen wij daarna over de meerwaarde van een eventuele publicatie van het opgeloste probleem.

English translation Coordinated Vulnerability Disclosure
Contact Veelgestelde vragen
youtube linkedin facebook logo-instagram1