Hoe kan ik een zwakke plek in een ICT-systeem van het RIVMRijksinstituut voor Volksgezondheid en Milieu melden (Responsible Disclosure)?

Meldt dit aan het Nationaal Cyber Security Centrum (NCSCNationaal Cyber Security Centrum) via een e-mail aan cert@ncsc.nl. Meld de kwetsbaarheid voordat je dit aan de buitenwereld kenbaar maakt. Zo kan het RIVM eerst maatregelen treffen. Dit heet Responsible Disclosure.

Waar je aan moet denken bij Responsible Disclosure

  • Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL (link) van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer informatie nodig zijn.
  • Laat je contactgegevens (e-mailadres en/of telefoonnummer) achter, zodat wij contact op kunnen nemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet je melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan jouw melding.

Maak geen misbruik van een zwakke plek in ons ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • malware te plaatsen;
  • gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • veranderingen aan te brengen in het systeem;
  • herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
  • gebruik te maken van denial-of-service of social engineering.

Wat wij doen bij Responsible Disclosure

Heb je een melding gedaan van een zwakke plek in ons ICT-systeem? Met deze melding kunnen wij voorkomen dat belangrijke informatie in verkeerde handen valt of wordt gebruikt voor valse of strafbare handelingen.

Wij behandelen jouw melding vertrouwelijk. Wij delen geen persoonlijke gegevens met derden zonder jouw toestemming. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. De Rijksoverheid kan, als je dat wilt, jouw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. Over het behandelen van jouw melding houden wij je op de hoogte.

Leidraad Responsible Disclosure

Bij het opstellen van deze Responsible Disclosure, hebben wij gebruik gemaakt van de leidraad voor Coordinated Vulnerability Disclosure van de Rijksoverheid. Hierin staat ook wat melders kunnen doen als ze een kwetsbaarheid ontdekken.