[*]Ga direct naar de content
[*]Inloggen

[*]Geprint van www.mycoa.nl/nl/kwetsbaarheid-melden

Terug naar [*]Start

Kwetsbaarheid melden

Een zwakke plek in een ICT-systeem van het COA kun je melden aan het Nationaal Cyber Security Centrum (NCSC). Doe dit voordat je het aan de buitenwereld kenbaar maakt. Zo kan het COA eerst maatregelen treffen.

Een zwakke plek in een ICT-systeem van het COA melden?

Een zwakke plek in een ICT-systeem van het COA, zoals mycoa.nl, kun jemelden aan het Nationaal Cyber Security Centrum (NCSC). je kunt dit melden via e-mail. Meld de kwetsbaarheid voordat je dit aan de buitenwereld kenbaar maakt. Zo kan het COA eerst maatregelen nemen. Dit heet Responsible Disclosure.

Waar je aan moet denken bij Responsible Disclosure

Als je een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan het probleem zo snel mogelijk worden opgelost. Meestal is het IP-adres of de url van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat er met je contact kan worden opgenomen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoe je bij je melding aan deze voorwaarden? Dan worden er geen juridische consequenties aan de melding verbonden.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen
  • Gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem)
  • Veranderingen aan te brengen in het systeem
  • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen
  • Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen
  • Gebruik te maken van denial-of-service of social engineering

Wat er wordt gedaan bij Responsible Disclosure

Heeft je een melding gedaan van een zwakke plek in een ICT-systeem? De melding wordt als volgt behandeld:

  • Je krijgt binnen 1 werkdag een ontvangstbevestiging.
  • Je krijgt binnen 3 werkdagen een reactie op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder word je op de hoogte gehouden van de voortgang van het oplossen van het probleem.
  • Het beveiligingsprobleem zal zo snel mogelijk worden opgelost, maar uiterlijk binnen 60 dagen. Er wordt samen met jou bepaald of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
  • Als dank voor je hulp wordt een beloning aangeboden.

Je melding wordt vertrouwelijk behandeld. Persoonlijke gegevens worden niet zonder jouw toestemming met derden gedeeld. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. Als je dat wilt, kan je naam worden vermeld als de ontdekker van de gemelde kwetsbaarheid.