Verantwoorde Openbaarmaking (responsible disclosure)

Wat te doen als je een kwetsbaarheid ontdekt

Bij de Hogeschool van Amsterdam hechten we veel belang aan de veiligheid van onze systemen. Ondanks onze zorgvuldigheid kunnen er kwetsbaarheden voorkomen. Heb jij een kwetsbaarheid ontdekt? Graag verzoeken we je ons dan zo spoedig mogelijk in te lichten volgens onze richtlijnen van Verantwoorde Openbaarmaking, zodat we zo snel mogelijk maatregelen kunnen treffen.

Heb je een kwetsbaarheid ontdekt?

Mail dan naar cert@hva.nl de volgende gegevens:

  • Je contactgegevens (voor als we nog vragen hebben), dus naam, organisatie, emailadres en telefoonnummer.
  • Of je publiekelijk bekend wilt worden gemaakt.
  • Beschrijving van de kwetsbaarheid.
  • Welke systeemconfiguraties zijn volgens jou kwetsbaar?
  • Hoe heb je de kwetsbaarheid gevonden? Vermeld eventuele specifieke tools of technieken.
  • Denk je dat de kwetsbaarheid wordt uitgebuit?
  • Voeg eventueel gerelateerde bestanden en CERT TRacking ID's toe aan de mail.

Hoe kunnen we samen zorgen voor veilige systemen?

Wij vragen je:

  • kwetsbaarheden niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig om de kwetsbaarheid aan te tonen en extra terughoudendheid te betrachten bij persoonsgegevens: geen gegevens van derden inkijken, verwijderen of aanpassen;
  • kwetsbaarheden niet met anderen te delen totdat ze zijn opgelost en alle vertrouwelijke gegevens die via kwetsbaarheden zijn verkregen zo snel mogelijk te wissen;
  • geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, distributed denial-of-service of spam;
  • voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het snel kunnen oplossen. Meestal is een IP-adres of URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • je bevindingen zo snel mogelijk te mailen naar cert@hva.nl ; versleutel je bevindingen bij voorkeur met onze PGP-key.

Wij beloven:

  • te reageren binnen drie dagen op je melding met onze beoordeling en een verwachte datum voor een oplossing;
  • je melding vertrouwelijk te behandelen en we zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen;
  • je op de hoogte te houden van de voortgang van het oplossen van het probleem;
  • in berichtgeving over het gemelde probleem, indien je dit wenst, jouw naam te vermelden als de ontdekker van de kwetsbaarheid;
  • dat anoniem of onder een pseudoniem melden mogelijk is. Het is voor jou goed om te weten dat dit wel betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of een eventuele beloning voor de melding;
  • als dank voor jouw hulp een beloning aan te bieden voor elke eerste melding van een voor ons nog onbekende kwetsbaarheid. De grootte van de beloning wordt bepaald door de ernst van de kwetsbaarheid en de kwaliteit van de melding en varieert van een eervolle vermelding tot een gift.
  • te streven naar het zo snel mogelijk oplossen van de gerapporteerde problemen. Wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Kwetsbaarheid

Een kwetsbaarheid is een eigenschap van een samenleving, organisatie of informatiesysteem of een onderdeel daarvan die afbreuk doet aan de weerbaarheid van deze entiteit. Een kwetsbaarheid biedt een kwaadwillende partij de kans om schade toe te brengen omdat de bescherming tegen schade te wensen overlaat. Zo kan een kwaadwillende partij bijvoorbeeld de legitieme toegang tot informatie of functionaliteit verhinderen en beïnvloeden dan wel ongeautoriseerd benaderen. Kwetsbaarheden vormen de ‘toegangspoorten’ waarlangs dreigingen kunnen leiden tot incidenten. Het verhelpen van kwetsbaarheden is een directe manier om dreigingen af te laten nemen en de kans op incidenten te verkleinen. (Bron NCSC)

Verantwoorde openbaarmaking

Ofwel Responsible Disclosure of Coordinated Vulnerability Disclosure is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid.

Gepubliceerd door  ICT Services 3 februari 2022