Het doel van Responsible Disclosure is het publiceren van beleid omtrent het melden van kwetsbaarheden. Met dit beleid wil Waterschap Hollandse Delta uitdragen open te staan voor meldingen van kwetsbaarheden van buitenaf, wij beschrijven de randvoorwaarden en geven

beloftes af. Wij hopen dat dit voor melders duidelijkheid schept en een enigszins veilige omgeving creëert om onderzoek te doen en kwetsbaarheden te melden, zonder direct een strafbaar feit te plegen.

Hiermee wordt bijgedragen aan de veiligheid van systemen en het beheersen van de kwetsbaarheid van systemen door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen. Hiermee wordt schade zo veel als mogelijk voorkomen en/of beperkt. 

Ons Responsible Disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken. Wij willen dus niet oproepen tot hack-pogingen op onze infrastructuur. Maar, als u een zwakke plek in een van onze systemen heeft gevonden, horen wij dit natuurlijk graag. Ons doel is om zo snel mogelijk maatregelen te treffen tegen deze kwetsbaarheid. Wij willen graag met u samenwerken om de veiligheid van onze systemen te verbeteren.

Wat vragen wij van u:

  • Verantwoordelijkheid voor het eigen handelen te nemen.
  • Zo snel mogelijk na ontdekking van de kwetsbaarheid deze aan ons door te geven via security@wshd.nl
  • Misbruik de zwakheid niet door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen uw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners.
  • Geef in uw melding zo nauwkeurig mogelijk informatie over het probleem. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende.
  • Geef in uw melding uw contactgegevens aan zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
  • Deel de informatie over het beveiligingsprobleem niet met anderen, totdat het is opgelost.
  • De kwetsbaarheid pas openbaar maken nadat dit is overeengekomen tussen ons en u. Waarbij alle betrokken organisaties goed zijn geïnformeerd en passende maatregelen hebben kunnen nemen. Openbaar maken van de kwetsbaarheid kan pas na de termijn die wij daarvoor hebben gesteld.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
  • Kopieer, wijzig of verwijder geen gegevens van het systeem.
  • Breng geen veranderingen in het systeem aan.
  • Maak geen gebruik van Denial of Service.
  • Plaats geen malware.

Wat u van ons kunt verwachten:

  • Een ontvangstbevestiging van uw melding binnen drie werkdagen met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Anonimiteit van u. Een uitzondering hierop is politie en justitie, in geval van aangifte of indien gegevens worden opgeëist.
  • Goed overleg tussen u en ons met betrekking tot het verhelpen van de kwetsbaarheid. U wordt op de hoogte gesteld van onze beoordeling van uw melding en de verdere stappen die in het proces worden genomen.
  • Het is helaas niet mogelijk bij voorbaat juridische stappen tegen u uit te sluiten. We willen elke situatie apart kunnen afwegen. We achten ons zelf moreel verplicht om aangifte te doen op moment dat we het vermoeden hebben dat de zwakheid of gegevens misbruikt worden, of dat u kennis over de zwakheid met anderen heeft gedeeld. U kunt er op rekenen dat een toevallige ontdekking in onze online-omgeving niet tot aangifte zal leiden. Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding.
  • We houden zestig dagen aan voor het verhelpen van een kwetsbaarheid in systemen en zes maanden voor oplossen van een kwetsbaarheid in computer apparatuur van het waterschap. In onderling overleg kan worden bepaald of en op welke wijze informatie over het probleem, nadat het is opgelost, wordt gepubliceerd.
  • Als dank voor uw hulp bieden wij een ludieke beloning voor elke melding van een ons nog onbekend en serieus beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn. In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.