Responsible disclosure

Meerinzicht hecht veel belang aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, vernemen wij dit graag zo snel mogelijk, zodat wij snel gepaste maatregelen kunnen nemen.

Zwakke plekken kunnen op twee manieren worden ontdekt: je loopt ergens per ongeluk tegenaan bij normaal gebruik van een digitale omgeving, of je doet expliciet je best om een zwakke plek te vinden. Ons Responsible Disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken.
Door het maken van een melding verklaart u zich als melder akkoord met onderstaande afspraken over Responsible Disclosure en zal Meerinzicht uw melding conform onderstaande afspraken afhandelen.

Wij vragen het volgende van u:

  • Mail uw bevindingen naar responsibledisclosure@meerinzicht.nl.
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperkt u zich daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings-) producten.
  • Contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres of telefoonnummer achter.
  • Dien de melding a.u.b. zo snel mogelijk in na ontdekking van de kwetsbaarheid.

De volgende handelingen zijn niet toegestaan:

  • Het plaatsen van malware, noch op onze systemen noch op die van anderen
  • Het zogeheten “bruteforcen” van toegang tot systemen, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet, dat wil zeggen als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd
  • Het gebruik maken van social engineering, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen als het op overigens volkomen legale wijze (dus niet via chantage of iets dergelijks) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. U dient daarbij alle zorg te betrachten die redelijkerwijs van u verwacht kan worden om de betreffende medewerkers zelf niet te schaden. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de gemeente en niet op het schaden van individuele personen die bij de gemeente werkzaam zijn
  • Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost.
  • Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
  • Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).
  • Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.

Wat u mag verwachten:

  • Indien u aan alle bovenstaande voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.
  • Als blijkt dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
  • Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
  • Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo borgen wij dat gemeenten hun ervaringen op dit vlak met elkaar delen.
  • In onderling overleg kunnen we, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
  • Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging.
  • Wij reageren binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
  • Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij streven we ernaar om u goed op de hoogte te houden van de voortgang en nooit langer dan 90 dagen te doen over het oplossen van het probleem. Wij zijn daarbij vaak wel mede afhankelijk van toeleveranciers.
  • In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.
  • Wij kunnen u een bedankje bieden afhankelijk van de aard en omstandigheden. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en wij worden graag betrokken bij een eventuele publicatie over het probleem, nadat het is opgelost.


Responsible Disclose (English)

Meerinzicht considers the security of the systems of importance. Despite the great care we take regarding security, weak points can still remain. If you have found such a weakness, we would like to hear about it as soon as possible so that we can take appropriate measures as quickly as possible.

Weak points can be discovered in two ways: you can accidently come upon something during the normal use of a digital environment, or you can explicitly do your best to find them. Our responsible disclosure policy is not an invitation to actively scan our business network to discover weak points.

By making a report, you declare that you agree with the following agreements about Responsible Disclosure and Meerinzicht will handle your findings in accordance with the following agreements.

Meerinzicht asks you:

  • To e-mail your findings to responsibledisclosure@meerinzicht.nl.
  • Provide sufficient information to reproduce the problem so that we can solve the problem as quickly as possible. The IP address or the URL of the system affected and a description of the vulnerability is usually sufficient, but more may be needed for more complex vulnerabilities
  • We are committed to tips that help us to solve the problem. You should, however, like to limit yourself to verifiable facts that relate to the vulnerability you have identified and avoid that your advice in fact amounts to advertising for specific (security) products
  • Leave your contact details so that the IBD can contact you to cooperate on a safe result.
  • At least, leave an e-mail address or a telephone number.
  • Report the vulnerability as quickly as possible after its discovery.

Avoid in any case the following acts:

  • Installing malware.
  • Using so-called “brute force” to access systems.
  • The use of social engineering, except insofar as this is strictly necessary to demonstrate that employees with access to sensitive data generally (seriously) fall short in their duty to deal with them carefully. In other words, if it is otherwise perfectly legal (ie not through blackmail or the like), it is generally too simple to persuade them to provide such data to unauthorized persons. You must exercise all due care that can reasonably be expected of you not to harm the relevant employees themselves. Your findings should only focus on the demonstration of obvious defects in the procedures and working methods within the municipality and not on the harm of individual persons working at the municipality.
  • Do not share the information on the security problem with others until the problem has been solved.
  • Performing actions that go beyond what is strictly necessary to demonstrate and report the security problem. Especially when it comes to processing (including viewing or copying) confidential data that you have accessed through the vulnerability.
  • Instead of copying a complete database, you can normally suffice with, for example, a directory listing. Changing or deleting data in the system is never permitted.
  • Using denial-of-service or social engineering.
  • Abuse the vulnerability in any other way.

What you can expect:

  • If you comply with the conditions above when reporting the observed vulnerability in an ICT system of Meerinzicht, we will not attach any legal consequences to this report.
  • If it appears that you have violated an above condition, we can still decide to take legal action against you.
  • The IBD handles a report confidentially and does not share personal details with third parties without permission from the reporter, unless this is mandatory by virtue of a judicial decision.
  • We always share the received report with the Municipal Information Security Service (IBD). This way we ensure that municipalities share their experiences in this area.
  • In mutual consultation we can, if you wish, mention your name as the discoverer of the reported vulnerability. In all other cases, you remain anonymous
  • We will send you an (automatic) confirmation of receipt within 1 working day.
  • We respond within 5 working days to a report with a (first) assessment of the report and possibly an expected date for a solution.
  • We solve the security problem that you reported as quickly as possible. In doing so, we strive to keep you well informed of the progress and never do more than 90 days to solve the problem. We are often partly dependent on suppliers.
  • It can be determined in mutual consultation whether and how the problem will be published after it has been resolved.
  • We can offer you a “thank you”, depending on the nature and circumstances. This must be a still unknown and serious security problem.

We strive to solve all problems as quickly as possible, keep all parties involved informed and we are happy to be involved in any publication about the problem after it has been resolved.