Een zwakke plek in een ICT (Informatie- en communicatietechnologie)‑systeem van het RIVM kunt u melden aan het Nationaal Cyber Security Centrum (NCSC). U kunt dit doen via security@ncsc.nl óf via het CVD‑formulier van het NCSC. Meld de kwetsbaarheid altijd eerst bij het NCSC, voordat u deze aan de buitenwereld kenbaar maakt. Zo kan het RIVM passende maatregelen treffen.
Wat is een Coordinated Vulnerability Disclosure (CVD)?
Een CVD betekent dat iemand een gevonden beveiligingsprobleem eerst vertrouwelijk meldt bij de organisatie die het kan oplossen. Zo kunnen er maatregelen genomen worden voordat de kwetsbaarheid openbaar wordt gemaakt.
Ook biedt het CVD-beleid bescherming aan de melder van de kwetsbaarheid. Voldoet een melding aan de gestelde voorwaarden? Dan zullen geen juridische consequenties aan de melding worden verbonden.
Informatie benodigd voor een CVD-melding staat standaard verwerkt in het security.txt-bestand van de website. Voor het RIVM is deze te vinden op: https://www.rivm.nl/.well-known/security.txt.
Waar u aan moet denken bij een Coordinated Vulnerability Disclosure
Als u een melding doet van een kwetsbaarheid in ons ICT (Informatie- en communicatietechnologie)‑systeem, denk dan aan het volgende:
- Handel zoals aangegeven in het CVD-beleid van het NCSC
- Meld de kwetsbaarheid zo snel mogelijk na ontdekking
- Deel de informatie niet met anderen totdat het probleem is opgelost
- Houd de melding vertrouwelijk en maak deze niet openbaar, ook niet via media of andere kanalen, totdat het RIVM of NCSC hiervoor toestemming geeft
Maak geen misbruik van een zwakke plek in ons ICT‑systeem
Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:
- Malware te plaatsen
- Gegevens te kopiëren, wijzigen of verwijderen
- Veranderingen aan te brengen in het systeem
- Herhaaldelijk toegang te verkrijgen of toegang te delen met anderen
- Gebruik te maken van ‘brute forcing’
- Gebruik te maken van denial‑of‑service of social engineering
- Het plaatsen van een eigen backdoor in een systeem om kwetsbaarheid aan te tonen
- Een kwetsbaarheid verder uitbuiten dan strikt noodzakelijk
Wat wij doen bij een Coordinated Vulnerability Disclosure
Uw melding bij het NCSC wordt in behandeling genomen door het NCSC. Daar wordt besloten of de melding wordt doorgegeven aan het RIVM wanneer verdere acties vereist zijn. De communicatie over de melding blijft verlopen via het NCSC.
Met uw melding kunnen wij voorkomen dat belangrijke informatie in verkeerde handen valt of gebruikt wordt voor valse of strafbare handelingen.
Wij behandelen uw melding vertrouwelijk. Wij delen geen persoonlijke gegevens met derden zonder uw toestemming, tenzij wettelijk verplicht.
Beleid Coordinated Vulnerability Disclosure
Bij het opstellen van deze CVD‑richtlijn is gebruikgemaakt van het Beleid Coordinated Vulnerability Disclosure Rijksoverheid.