Responsible disclosure

Een zwakke plek in een ICT-systeem van het Kadaster melden

Wij hanteren strenge beveiligingsmaatregelen van onze systemen. Toch kan het voorkomen dat er een zwakke plek zit in een van onze systemen. Kadaster maakt gebruik van het Nationaal Cyber Security Centrum (NCSC) als tussenpartij om meldingen van kwetsbaarheden in behandeling te nemen.

Zwakke plek gevonden? Volg deze 6 stappen:

  1. Mail uw bevindingen naar het NCSC. U vindt het mailadres op de contactpagina van het NCSC. Versleutel de bevindingen indien mogelijk met de Pretty Good Privacy (PGP)-sleutel van het NCSC om te voorkomen dat de informatie in verkeerde handen valt.
    a.    PGP is een van de veel gebruikte versleutelingsmogelijkheden.
    b.    De te gebruiken PGP-sleutel is te vinden is op de contactpagina van het NCSC.
  2. Geef voldoende informatie om het probleem te reproduceren, zodat het Kadaster het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn, zoals een Proof of Concept (PoC).
  3. Laat uw contactgegevens achter zodat het NCSC met u in contact kan treden om samen te werken aan een veilig resultaat en u over de voortgang terugkoppeling kan geven. Laat minimaal een email adres of telefoonnummer achter.
  4. Meld de kwetsbaarheid zo snel mogelijk na de ontdekking.
  5. Deel het beveiligingsprobleem niet met anderen, totdat het is opgelost.
  6. Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die niet noodzakelijk zijn om het beveiligingsprobleem aan te tonen.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Bijvoorbeeld door:

  • malware te plaatsen
  • gegevens in een systeem te kopiëren, wijzigen, of verwijderen (een alternatief hiervoor is het maken van een directory listing van een systeem)
  • herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen
  • gebruik te maken van het zogeheten “bruteforcen” van toegang tot systemen
  • gebruik te maken van denial-of-service of social engineering

Dit kunt u  van ons verwachten:

  • Als uw melding aan de bovenstaande voorwaarden voldoet, verbinden wij geen juridische consequenties aan deze melding. Wij behandelen uw melding strikt vertrouwelijk en delen geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Na een melding stuurt het NCSC u binnen 1 werkdag een ontvangstbevestiging.
  • Het Kadaster reageert via het NCSC binnen 5 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden u op de hoogte over de voortgang. Wij lossen het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op.
  • In onderling overleg bepalen we wanneer en op welke wijze hierover wordt gecommuniceerd.
  • Als dank voor uw hulp biedt NCSC een beloning. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding kan die beloning variëren. Het moet wel gaan om een serieus beveiligingsprobleem dat voor het NCSC nog onbekend is.

Deze tekst is opgesteld als aanvulling op de NCSC-leidraad. Lees meer op de site van de NCSC.