Responsible Disclosure

 

 

Hoe meld ik een zwakke plek in een ICT-systeem van KBenP (Responsible Disclosure)?

Een zwakke plek in een ICT-systeem van KBenP, zoals www.kbenp.nl, kunt u melden via:

  • ons e-mailadres info@kbenp.nl, of
  • via het webformulier onderaan deze pagina.

Het webformulier kan ook gebruikt worden voor een anonieme melding. Meld de kwetsbaarheid voordat u deze aan de buitenwereld kenbaar maakt. Zo kan KBenP eerst maatregelen treffen. Dit heet Responsible Disclosure.

 

Waar u aan moet denken bij Responsible Disclosure

Doet u een melding van een kwetsbaarheid in een ICT-systeem? Denk dan aan het volgende:

  • ·Geef voldoende informatie om het probleem te reproduceren. Zo kan KBenP het zo snel mogelijk oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat KBenP contact met u kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over de kwetsbaarheid niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het probleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt KBenP geen juridische consequenties aan de melding.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • malware te plaatsen
  • gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem)
  • veranderingen in het systeem aan te brengen
  • herhaaldelijk toegang tot het systeem te verkrijgen of de toegang te delen met anderen
  • gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen
  • gebruik te maken van denial-of-service of social engineering

 Wat doet KBenP bij een melding?

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? KBenP behandelt deze als volgt:

  • U krijgt binnen 1 werkdag een ontvangstbevestiging van KBenP.
  • KBenP reageert binnen 3 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachtte datum voor een oplossing.
  •  KBenP houdt u als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • KBenP lost het probleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen. KBenP bepaalt samen met u of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt plaats nadat het probleem is opgelost.
  • KBenP behandelt uw melding vertrouwelijk. KBenP deelt persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. KBenP kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

Kwetsbaarheid in ICT-systeem bij aan KBenP gelieerde ondernemingen

Ontdekt u een kwetsbaarheid bij een aan KBenP gelieerde onderneming? Benader dan eerst deze onderneming zelf. Het kan dan gaan om GO opleidingen, G-workplace, Smartshore Ability, InformatieProfessional, Reekx of Bibliotheekblad.

 

Webformulier Responsible Disclosure

Bij een anonieme melding kunt u de niet-verplichte velden leeg laten.