Ynformaasjefeiligens

Nettsjinsteande alle soarch en ynset om de ynformaasjesystemen te befeiligjen, kinne der situaasjes ûntstean wêryn't sprake is fan in swak plak: in befeiligingslek. As jo tinke in swak plak yn ien fan de gemeentlike systemen fûn te hawwen, freegje wy jo om de ynformaasje oer it befeiligingslek oan ús te melden. Sa kin it lek sa gau mooglik ferholpen wurde en wurdt foarkommen dat oaren misbrûk meitsje kinne fan it befeiligingslek. Sa wurkje wy gear oan de ynformaasjebefeiliging fan de provinsje. Om dit op in goede en ferantwurde wize mooglik te meitsjen, moatte de provinsje en jo har hâlde oan ûndersteande ôfspraken.

Kontakt mei de Funksjonaris foar Gegevensbeskerming

As jo fragen hawwe oer Ynformaasjebefeiliging troch de gemeente Opsterlân kinne jo kontakt opnimme mei de Funksjonaris Gegevensbeskerming fan de gemeente Opsterlân. Dit kinne jo dwaan troch in e-mail te stjoeren nei it folgjende e-mailadres:

privacy@opsterland.nl

Proses en ôfspraken melden befeiligingslek

  • Coordinated Vulnerability Disclosure (CVD)

De gemeente Opsterlân hecht in protte belang oan de befeiliging fan har systemen. Nettsjinsteande alle foarsoarchsmaatregels bliuwt it mooglik dat in swak plak yn de systemen te finen is. Wannear't jo in swak plak yn ien fan ús systemen ûntdekke, hearre wy dit graach fan jo, sadat wy gau passende maatregels nimme kinne. Troch it dwaan fan in melding ferklearje jo jo as melder akkoart mei ûndersteande ôfspraken oer Coordinated Vulnerability Disclosure (CVD).

Ofhanneling melding

Wy freegje it folgjende fan jo

Mail jo befinings nei teamsecurity@owo-gemeenten.nl

  • Jou genôch ynformaasje om it probleem te reprodusearjen, sadat wy it sa gau mooglik oplosse kinne. Meastentiids is it IP-adres, de URL, skermôfbyldings ensafier fan it troffen systeem en in omskriuwing fan de kwetsberheid genôch, mar by komplekser kwetsberheden kin mear nedich wêze.
  • Wy hâlde ús oanrikkemandearre foar tips dy't ús helpe it probleem op te lossen. Beheine jo jo dêrby wol graach ta ferifiearbere feitlikheden dy't betrekking hawwe op de troch jo konstatearre kwetsberheid en foarkom dat jo advys yn feite delkomt op reklame foar spesifike (befeiligings)produkten.
  • Kontaktgegevens efter te litten sadat wy mei jo yn kontakt komme kinne om gear te wurkjen oan in feilich resultaat. Lit minimaal ien e-mailadres of telefoannûmer efter.
  • Tsjinje de melding sa gau mooglik yn nei ûntdekking fan de kwetsberheid.

De folgjende hannelingen binne net tastien

  • It pleatsen fan malware, noch op ús systemen noch op dy fan oaren.
  • It saneamde “bruteforcen” fan tagong ta systemen, útsein foarsafier't dat strikt needsaaklik is om oan te toanen dat de befeiliging op dit flak earnstich tekoart sjit, dat wol sizze as it bûtengewoan ienfâldich is om mei iepenbier te krijen en goed betelbere hardware en software in wachtwurd te kraken wêrmei't it systeem earnstich kompromittearre wurde kin.
  • It gebrûk meitsjen fan social engineering.
  • It iepenbier meitsjen of oan tredden ferstrekken fan ynformaasje oer it befeiligingsprobleem foardat it probleem oplost is.
  • It ferrjochtsjen fan hannelingen dy't fierder geane as wat strikt needsaaklik is om it befeiligingsprobleem oan te toanen en te melden. Yn it bysûnder dêr't it giet om it ferwurkjen (wêrûnder it ynsjen of kopiearjen) fan fertroulike gegevens dêr't jo troch de kwetsberheid tagong ta hân hawwe. Yn stee fan in folsleine database te kopiearjen, kinne jo normaalwei foldwaan mei bygelyks in directory listing. It wizigjen of fuortheljen fan gegevens yn it systeem is nea tastien.
  • It gebrûk meitsjen fan techniken wêrmei't de beskikberheid en/of brûkberheid fan it systeem of tsjinsten fermindere wurdt ((D)DoS-oanfallen).
  • Op hokker (oare) wize dan ek misbrûk meitsje fan de kwetsberens.

Wat jo ferwachtsje meie

  • As jo oan alle boppesteande betingsten foldogge, sille wy gjin strafrjochtlike oanjefte tsjin jo dwaan en ek gjin sivylrjochtlike saak tsjin jo oanspanne.
  • As bliken docht dat jo in boppesteande betingst dochs skeind hawwe, kinne wy asnoch beslute om rjochterlike stappen tsjin jo te ûndernimmen.
  • Wy behannelje in melding fertroulik en diele persoanlike gegevens fan in melder net sûnder dy syn tastimming mei tredden, útsein as wy dêr neffens de wet of in rjochterlike útspraak ta ferplichte binne.
  • Mooglik diele wy de ûntfongen melding (altyd anonym) mei oare provinsjes en de Ynformaasjefeilichheidstsjinst foar gemeenten (IBD). Sa boargje wy dat provinsjes en gemeenten (fia de IBD) harren ûnderfinings op dit flak mei-inoar diele.
  • Yn ûnderling oerlis kinne wy, as jo dit winskje, jo namme fermelde as de ûntdekker fan de melde kwetsberens. Yn alle oare gefallen bliuwe jo anonym.
  • Wy stjoere jo binnen 2 wurkdagen in ûntfangstbefêstiging.
  • Wy reagearje binnen 1 wike op in melding mei in (earste) beoardieling fan de melding en eventueel in ferwachte datum foar in oplossing.
  • Wy lossen it troch jo melde befeiligingsprobleem sa gau mooglik op. Dêrby stribje wy dernei om jo goed op de hichte te hâlden fan de fuortgong en nea langer as 90 dagen te dwaan oer it oplossen fan it probleem. Wy binne dêrby faak wol mei-ôfhinklik fan leveransiers.
  • Yn ûnderling oerlis kin bepaald wurde oft en op hokker wize oer it probleem publisearre wurdt, neidat it oplost is.

Mear ynformaasje

Hawwe jo noch fragen?

Nim dan kontakt op mei it Publykssintrum

Gemeente Opsterlân