Hoe kan ik een zwakke plek in een ICT-systeem van het RIVM (Rijksinstituut voor Volksgezondheid en Milieu) melden (Responsible Disclosure)?
Een zwakke plek in een ICT-systeem van het RIVM kunt u melden aan het Nationaal Cyber Security Centrum (NCSC (Nationaal Cyber Security Centrum)). U kunt dit melden via het e-mailadres cert@ncsc.nl . Meld de kwetsbaarheid voordat u dit aan de buitenwereld kenbaar maakt. Zo kan het RIVM eerst maatregelen treffen. Dit heet Responsible Disclosure.
Waar u aan moet denken bij Responsible Disclosure
Als u een melding doet van een kwetsbaarheid in ons ICT-systeem, denk dan aan de volgende zaken:
- Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL (link) van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer informatie nodig zijn.
- Laat uw contactgegevens (e-mailadres en/of telefoonnummer) achter, zodat wij contact met u kunnen opnemen.
- Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
- Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
- Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
Voldoet u bij uw melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan uw melding.
Maak geen misbruik van een zwakke plek in ons ICT-systeem
Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:
- malware te plaatsen;
- gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
- veranderingen aan te brengen in het systeem;
- herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
- gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
- gebruik te maken van denial-of-service of social engineering.
Wat wij doen bij Responsible Disclosure
Heeft u een melding gedaan van een zwakke plek in ons ICT-systeem? Met uw melding kunnen wij voorkomen dat belangrijke informatie in verkeerde handen valt of wordt gebruikt voor valse of strafbare handelingen.
Wij behandelen uw melding vertrouwelijk. Wij delen geen persoonlijke gegevens met derden zonder toestemming van u. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. De Rijksoverheid kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. Over het behandelen van uw melding houden wij u op de hoogte.
Leidraad Responsible Disclosure
Bij het opstellen van deze Responsible Disclosure, hebben wij gebruik gemaakt van de leidraad voor Coordinated Vulnerability Disclosure van de Rijksoverheid. Hierin staat ook wat melders kunnen doen als ze een kwetsbaarheid ontdekken.