Spring naar content

Coordinated Vulnerability Disclosure (CVD) – NL

For the English version, please visit https://www.zgem.nl/english-cvd. 

Bij Zorggroep Elde Maasduinen (ZGEM) vinden wij de veiligheid van onze systemen, gegevens en dienstverlening van groot belang. Onze visie is om iedere levensfase waardevol te maken – dat geldt ook voor hoe wij omgaan met digitale veiligheid.

Ondanks onze inspanningen om onze systemen goed te beveiligen, kan het voorkomen dat er toch een zwakke plek bestaat. Wanneer u een kwetsbaarheid ontdekt, waarderen wij het zeer als u dit meldt, zodat we snel passende maatregelen kunnen nemen.

Door een melding te doen, gaat u akkoord met onderstaande afspraken over Coordinated Vulnerability Disclosure (CVD). ZGEM behandelt meldingen samen met Stichting Z-CERT volgens deze afspraken. 

Kwetsbaarheid melden 

U kunt uw bevindingen melden bij Stichting Z-CERT via e-mail:
cvd@z-cert.nl
U kunt uw bericht versleutelen met de PGP-sleutel van Z-CERT: https://z-cert.nl/pgp

Geef in uw melding voldoende informatie zodat het probleem reproduceerbaar is. Vermeld ten minste:
– het IP-adres of de URL van het getroffen systeem;
– een korte beschrijving van de kwetsbaarheid;
– eventueel aanvullende informatie of bewijsmateriaal die helpt bij het reproduceren van het probleem.

Z-CERT behandelt namens ZGEM de CVD-meldingen en werkt samen met u om deze zorgvuldig op te pakken.

Binnen het kader van ons CVD-beleid vallen bepaalde onderwerpen buiten de scope. Een overzicht van deze onderwerpen is opgenomen aan het einde van deze pagina 

Juridische kaders 

Het onderzoeken van kwetsbaarheden kan in sommige gevallen onder de wet computervredebreuk vallen (artikel 138ab Wetboek van Strafrecht).
Wanneer u zich echter houdt aan de onderstaande regels voor verantwoord melden, zal ZGEM geen aangifte doen en geen juridische stappen ondernemen, behalve wanneer dit wettelijk verplicht is.

Het Openbaar Ministerie (OM) behoudt altijd het recht om zelfstandig te beslissen over eventuele strafrechtelijke vervolging.

Regels voor verantwoord melden 

Wij vragen u om:
– Het probleem niet te misbruiken of te verergeren. Download of wijzig geen data die niet van u is.
– Alleen minimaal noodzakelijke gegevens te gebruiken om de impact aan te tonen, en waar mogelijk geanonimiseerde data te gebruiken.
– Geen bijzondere persoonsgegevens (zoals medische gegevens van cliënten of medewerkers) te raadplegen. Vermoedt u dat dit mogelijk is, vermeld dit dan in uw melding.
– Uw bevindingen niet met anderen te delen totdat het probleem is opgelost en in overleg met ons gepubliceerd kan worden.
– Alle vertrouwelijke gegevens die u heeft verkregen direct te verwijderen zodra het lek is gedicht.
– Geen aanvallen uit te voeren op fysieke beveiliging, social engineering, (D)DoS, spam, brute-force aanvallen of systemen van derden.

U mag een melding anoniem of onder pseudoniem doen. Houd er dan rekening mee dat wij u niet kunnen informeren over de voortgang of eventuele publicatie.

Wat mag u van ZGEM en Z-CERT verwachten 

ZGEM en Z-CERT:
– Behandelen uw melding vertrouwelijk en delen uw gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
– Sturen u een ontvangstbevestiging. Binnen vijf werkdagen ontvangt u een eerste reactie met een beoordeling en een verwachte oplossingsdatum.
– Houden u op de hoogte van de voortgang totdat het probleem is opgelost.
– Streven ernaar om kwetsbaarheden zo snel mogelijk te verhelpen.
– Overleggen met u over publicatie van de kwetsbaarheid zodra deze is opgelost.

Erkenning 

Onderzoekers die bijdragen aan het verbeteren van de veiligheid van onze systemen kunnen – met hun toestemming – worden vermeld in de Hall of Fame van Z-CERT:
https://z-cert.nl/kwetsbaarheid-melden/hall-of-fame

Contact 

Voor vragen of aanvullende informatie over kwetsbaarheden en digitale veiligheid kunt u contact opnemen via: cybersecurity@zgem.nl

Out of Scope 

ZGEM hanteert een duidelijke afbakening van wat binnen en buiten de reikwijdte van het Coordinated Vulnerability Disclosure (CVD)-beleid valt.

De volgende kwetsbaarheden en risico’s worden beschouwd als buiten de scope van dit beleid. Dit betekent dat deze niet in aanmerking komen voor behandeling binnen het CVD-proces:

– HTTP 404-codes/pagina’s of andere HTTP non-200 codes/pagina’s, en content spoofing of tekstinjectie op deze pagina’s.
– Fingerprint version banner disclosure op veelgebruikte of publieke services.
– Bekende publieke bestanden of mappen of niet-gevoelige informatie (bijvoorbeeld robots.txt).
– Clickjacking en kwetsbaarheden die uitsluitend via clickjacking kunnen worden misbruikt.
– Ontbrekende Secure/HTTPOnly-vlaggen op niet-gevoelige cookies.
– De OPTIONS HTTP-methode die is ingeschakeld.
– Kwetsbaarheden die uitsluitend te maken hebben met HTTP security headers, zoals:
   – Strict-Transport-Security
   – X-Frame-Options
   – X-XSS-Protection
   – X-Content-Type-Options
   – Content-Security-Policy
– SSL-configuratieproblemen, waaronder:
   – SSL forward secrecy niet ingeschakeld.
   – Zwakke of onveilige cipher suites.
– SPF-, DKIM- of DMARC-issues.
– Host header injection zonder aantoonbare impact.
– Het rapporteren van oudere softwareversies zonder bewijs van concept of werkende exploit.
– Informatie­lekken in metadata.

Deze lijst is niet limitatief, maar bedoeld om duidelijkheid te geven over de meest voorkomende meldingen die buiten scope vallen.