Kwetsbaarheid melden

Leestijd: min

Opslaan

Deel deze informatie

De KNB werkt continu aan de beveiliging van haar IT-systemen. Toch kan het gebeuren dat er een zwakke plek in één van onze systemen of websites voorkomt. Constateert u zo’n zwakke plek, dan stellen we het zeer op prijs als u hier melding van maakt via een e-mail naar responsible-disclosure@knb.nl.

Bij KNB vinden we de veiligheid van onze systemen en bescherming van informatie erg belangrijk. We besteden dan ook veel aandacht aan beveiliging in het onderhoud en de ontwikkeling van onze systemen. Ondanks onze zorg en inzet kan het voorkomen dat er een zwakke plek ontstaat in onze IT-systemen. Als u denkt een zwakke plek te hebben gevonden, dan werken we graag met u samen deze situatie zo spoedig mogelijk op te lossen. We verzoeken u dan ook deze informatie met ons te delen.

Door de kwetsbaarheid te melden voordat u deze aan de buitenwereld kenbaar maakt, stelt u de KNB in staat om eerst maatregelen treffen. Dit heet responsible disclosure. De KNB volgt hierin het beleid van het Nationaal Cyber Security Centrum (NCSC).

Wat wij van u vragen bij Responsible Disclosure

Als u een melding doet van een kwetsbaarheid in een IT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan de KNB het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de url van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat de KNB contact met u kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Maak geen misbruik van een zwakke plek in een IT-systeem

Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • malware te plaatsen;
  • gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • veranderingen aan te brengen in het systeem;
  • herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
  • gebruik te maken van denial-of-service of social engineering.

Wat u van de KNB mag verwachten

  • binnen 3 werkdagen reageren we op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;
  • wanneer u zich heeft gehouden aan bovenstaande voorwaarden ondernemen we geen juridische stappen tegen u betreffende de melding;
  • we behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk;
  • we houden u op de hoogte van de voortgang van het oplossen van het probleem.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen. We worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost. Het beleid voor responsible disclosure is geen uitnodiging om onze IT-systemen actief te scannen om zwakke plekken te ontdekken. De KNB monitort zelf haar IT-systemen.