De systemen van het RIVMRijksinstituut voor Volksgezondheid en Milieu zijn zo zorgvuldig mogelijk samengesteld en volgt de belangrijkste veiligheidseisen. Toch kan er een kwetsbaarheid aanwezig zijn die ons nog niet bekend is. Ziet u een beveiligingsprobleem of onbeveiligde informatie in een ICT systeem van het RIVM? Meld dit dan via informatiebeveiliging@rivm.nl.

Wat wij doen bij Responsible Disclosure?

Heb je een melding gedaan van een zwakke plek in ons ICT-systeem? Met deze melding kunnen wij voorkomen dat belangrijke informatie in verkeerde handen valt of wordt gebruikt voor valse of strafbare handelingen.

Wij behandelen jouw melding vertrouwelijk. Wij delen geen persoonlijke gegevens met derden zonder jouw toestemming. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. De Rijksoverheid kan, als je dat wil, jouw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. Over het behandelen van jouw melding houden wij je op de hoogte.

Maak geen misbruik van een zwakke plek in ons ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Gebruik te maken van social engineering om op die wijze toegang te verschaffen tot het systeem.
  • Een eigen backdoor in een informatiesysteem te plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • Een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Gegevens van het systeem te kopiëren, te wijzigen of te verwijderen.
  • Veranderingen in het systeem aan te brengen.
  • Herhaaldelijk toegang tot het systeem te verkrijgen of de toegang te delen met anderen.
  • Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen, daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.

Leidraad Responsible Disclosure

Bij het opstellen van deze Responsible Disclosure, hebben wij gebruik gemaakt van de leidraad voor Coordinated Vulnerability Disclosure van de Rijksoverheid. Hierin staat ook wat melders kunnen doen als ze een kwetsbaarheid ontdekken.