Responsible Disclosure

Je kunt een zwakke plek in onze ICT-systemen melden (Responsible Disclosure)

HDN vindt het belangrijk dat leden en gebruikers er altijd vanuit kunnen gaan dat zij veilig gebruik kunnen maken van onze ICT-systemen. Mocht je, ondanks onze zorg voor de veiligheid, een zwakke plek in onze ICT-systemen vinden, wil je dit dan aan ons laten weten voor je de kwetsbaarheid aan de buitenwereld kenbaar maakt? Zo kunnen wij eerst maatregelen treffen en/of samen kijken hoe we onze systemen beter kunnen beschermen. Dit heet Responsible Disclosure.

Wat kun je melden?

Je kunt alle soorten zwakke plekken in onze IT-systemen melden. Denk hierbij aan onze website hdn.nl of het HDN-platform.

Hoe maak je een melding?

Als je een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef via onderstaand formulier je bevindingen door en voeg eventuele bijlagen bij. Na ontvangst van de melding verifiëren onze beveiligingsexperts deze en stellen vast of er daadwerkelijk een kwetsbaarheid is.
  • Geef voldoende informatie om het probleem te reproduceren. Zo kunnen we het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat HDN contact met je kan opnemen. Dit is niet verplicht, maar wel nodig indien je gebruik wenst te maken van onderstaande beloning.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoe je bij je melding aan deze voorwaarden? Dan verbindt HDN geen juridische consequenties aan de melding.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen;
  • Gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • Veranderingen aan te brengen in het systeem;
  • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
  • Gebruik te maken van denial-of-service of social engineering.

Wat doet HDN met jouw melding?

Als je een melding hebt gedaan van een zwakke plek dan ondernemen we de volgende acties:

  • Je ontvangt binnen 1 werkdag een ontvangstbevestiging van je melding.
  • Onze beveiligingsexperts onderzoeken de melding en reageren binnen 3 werkdagen inhoudelijk op je mail.
  • Wij behandelen je melding vertrouwelijk en delen jouw persoonlijke gegevens niet zonder toestemming met derden tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • We houden je op de hoogte van de voortgang van het oplossen van het probleem
  • We lossen het beveiligingsprobleem zo snel mogelijk op. 
  • We nemen contact op om samen te bepalen of en hoe we over het gemelde probleem naar buiten treden. In de berichtgeving zullen wij, als je dit wenst, je naam vermelden als ontdekker.
  • HDN biedt een beloning van €50,- als dank voor de hulp.

Meer informatie?

De rijksoverheid heeft een leidraad voor Responsible Disclosure opgesteld. Ons beleid is hierop gebaseerd. Ben je niet blij met de manier waarop wij met je melding omgaan dan kun je het Nationaal Cyber Security Centrum op de hoogte brengen. Zij vervullen dan de rol van intermediair.

Meldingsformulier

  • Drop files here or
    Accepted file types: csv, php, pdf, docx, jpg, png, jpeg, txt, xlsx.