Beleid ethische veiligheidsmelding UBR

(Ethical Security Notification Policy UBR)

Bij de Uitvoeringsorganisatie Breedbandnetwerk Rivierenland (afgekort als UBRivierenland of UBR) doen wij ons uiterste best om onze systemen en processen optimaal te beveiligen. Ondanks al onze inspanningen is het mogelijk dat er toch zwakke plekken bestaan. Behulpzame beveiligingsonderzoekers (of ethische hackers) die ons graag helpen kwetsbaarheden te vinden en op te lossen, waarderen wij zeer.

Inbreken in digitale systemen, of zelfs dat maar proberen, is al gauw strafbaar in Nederland (zie artikel 138ab Wetboek van strafrecht) maar wie zich aan onze richtlijnen hieronder houdt, hoeft niet bang te zijn dat we aangifte zouden doen. In plaats daarvan geven wij liever een (niet-financiële) beloning aan iemand die zich aan onderstaande richtlijnen houdt en ons een melding stuurt die wij goed kunnen gebruiken om onze systemen en processen beter te beveiligen.

Wat mag (niet) bij het onderzoek

  • Je gebruikt geen technieken die onze diensten kunnen verstoren of beschadigen. Bijvoorbeeld geen (D)DoS.
  • Als je ‘brute force’ technieken toepast, bijvoorbeeld om wachtwoorden te kraken, zorg je dat je voldoet aan het punt hierboven en beperk je dit tot wat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak (ernstig) tekortschiet. Bijvoorbeeld als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd. Met onbeperkte rekenkracht en middelen is immers ieder systeem te kraken, dat feit is algemeen bekend en helpt ons weinig bij het verder verbeteren van onze beveiliging.
  • Als je social engineering toepast, dus mensen om de tuin leidt, om toegang tot systemen of gegevens te krijgen, beperk je dat tot wat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekortschieten in hun plicht om daar zorgvuldig mee om te gaan. Dus als het op volkomen legale wijze (dus niet via chantage of iets dergelijks) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. Je moet daarbij alle zorg betrachten die redelijkerwijs verwacht mag worden om de betreffende medewerkers zelf niet te schaden. Je werkwijze en bevindingen moeten uitsluitend zijn gericht op het aantonen van kennelijke gebreken in onze procedures en werkwijzen en niet op het schaden van individuele personen die bij ons werkzaam zijn.
  • Je gebruikt geen spam en geen aanvallen op onze fysieke beveiliging waar schade door kan ontstaan.
  • Je onderzoek raakt geen systemen van anderen waar wij geen zeggenschap over hebben. Dit beleid is immers niet van toepassing op systemen van anderen (derden).
  • Je verwijdert, wijzigt of beschadigt onze gegevens en systemen op geen enkele wijze.
  • Je bekijkt en kopieert niet meer gegevens dan nodig en dringt niet verder binnen in onze systemen dan nodig om je onderzoek uit te voeren en je bevindingen aan ons te melden en onderbouwen.
  • Je stelt geen informatie beschikbaar aan anderen die zij kunnen gebruiken om onze systemen binnen te dringen en als je gegevens in onze systemen hebt gevonden dan stel je die niet beschikbaar aan anderen.
  • Als je gegevens uit onze systemen hebt gekopieerd, verwijder je ze nadat je ons hebt laten weten hoe je binnen kon komen. Dergelijke gegevens bewaar je in elk geval niet nadat wij je op de hoogte hebben gesteld dat het lek is gedicht.

Wat mag (niet) bij het melden

  • Je meldt de resultaten van je onderzoek alleen aan ons en maakt niets openbaar over onze systemen en processen dat de veiligheid daarvan in gevaar kan brengen.
  • Je legt specifiek uit welke kwetsbaarheid of welk lek je hebt gevonden en waar. Als de kwetsbaarheid of het lek een CVE (common vulnerabilities and exposures) ID-nummer heeft, deel je deze. Je legt uit welke stappen je hebt genomen om de kwetsbaarheid of het lek te vinden. Je kunt daar bijvoorbeeld ook screenshots voor of bij gebruiken.
  • Je melding is in het Nederlands of het Engels.
  • Je mag anoniem melden maar we kunnen je vragen je te identificeren, zeker als je aanspraak wilt maken op een (niet-financiële) beloning.
  • Als je iets wilt publiceren over je onderzoek en wat wij hebben gedaan met je bevindingen, dan staan wij daar in principe voor open mits je de inhoud goed met ons afstemt.
  • Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen maar hebben geen behoefte aan reclame voor specifieke (beveiligings)producten.
  • Dien de melding graag zo snel mogelijk na ontdekking van de kwetsbaarheid in.
  • Je melding mail je naar fg@ubrivierenland.nl.

 

Wat mag je van ons verwachten

  • Als je een melding indient waarbij je je aan alle bovenstaande richtlijnen hebt gehouden, waarderen wij dat en nemen wij je melding serieus. Wij zullen dan ook geen aangifte doen. Je moet wel rekening houden met de mogelijkheid dat opsporingsdiensten ook zelf tot onderzoek over zouden kunnen gaan, als je je niet aan de wet zou hebben gehouden. Als je buiten Nederland actief bent, moet je bovendien rekening houden met de wetgeving in het land waar je bent.
  • Als achteraf blijkt dat je een bovenstaande voorwaarde toch hebt geschonden, kunnen wij alsnog besluiten om stappen tegen je te ondernemen.
  • Wij zijn een kleine organisatie met (zeer) beperkte interne capaciteit en zullen normaliter een beroep moeten doen op externe expertise om de juistheid van meldingen na te gaan en te weten wat we moeten doen om onze beveiliging verder te verbeteren. Wij vragen daarvoor om je begrip en geduld.
  • Wij behandelen je melding vertrouwelijk en delen persoonsgegevens die je aan ons hebt toevertrouwt niet zonder jouw toestemming met derden, buiten externe experts die ons adviseren over je melding, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn. Dit geldt alleen voor meldingen die volledig aan onze richtlijnen voldoen.
  • Wij kunnen de ontvangen informatie over de geconstateerde kwetsbaarheid altijd delen met de relevante toeleveranciers van de door ons gebruikte systemen en deskundige (externe) adviseurs. Wij vragen onze toeleveranciers zich te houden aan alles wat wij in dit beleid beloven, maar wij kunnen dat niet garanderen.
  • Als je daarom vraagt proberen wij je zo goed mogelijk op de hoogte te houden over hoever we zijn met het oplossen van je melding.
  • In onderling overleg kan worden bepaald of en op welke wijze over het probleem, wordt gepubliceerd, nadat het is opgelost.
  • Als je een goede bijdrage hebt geleverd aan het verbeteren van onze beveiliging, zijn we je daar dankbaar voor. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die niet-financiële beloning variëren van een eenvoudig ‘dankjewel’ tot een t-shirt of een ander bescheiden cadeau.

Burg v. Lidth de Jeudelaan 3
4001 VK Tiel
Postbus 137, 4000 AC Tiel

KvK: 76907694
BTW: NL 860835546B01
IBAN: NL79 BNGH 0285180290

info@ubrivierenland.nl
085-4000814
logo UBR 1e regionale glasvezelnetwerk van Nederland

© UBRivierenland 2024 | Cookieverklaring | Privacyverklaring | Gegevensbescherming Beleid ethische veiligheidsmelding | Toegankelijkheid | Realisatie Toon