Waterschap Hollandse Delta streeft een hoge beveiliging van systemen en gegevens na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt. Systemen kunnen door kwetsbaarheden uitvallen en gegevens binnen het systeem kunnen gewijzigd worden en toegankelijk worden voor personen die daar niet voor gemachtigd zijn.

Het doel van Responsible Disclosure is het publiceren van beleid omtrent het melden van kwetsbaarheden. Met dit beleid wil Waterschap Hollandse Delta uitdragen open te staan voor meldingen van kwetsbaarheden van buitenaf, wij beschrijven de randvoorwaarden en geven beloftes af. Wij hopen dat dit voor melders duidelijkheid schept en een enigszins veilige omgeving creëert om onderzoek te doen en kwetsbaarheden te melden, zonder direct een strafbaar feit te plegen.

Hiermee wordt bijgedragen aan de veiligheid van systemen en het beheersen van de kwetsbaarheid van systemen door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen. Hiermee wordt schade zo veel als mogelijk voorkomen en/of beperkt. 

Ons Responsible Disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken. Wij willen dus niet oproepen tot hack-pogingen op onze infrastructuur. Maar, als je een zwakke plek in een van onze systemen hebt gevonden, horen wij dit natuurlijk graag. Ons doel is om zo snel mogelijk maatregelen te treffen tegen deze kwetsbaarheid. Wij willen graag met jou samenwerken om de veiligheid van onze systemen te verbeteren.

Wat vragen wij van jou:

  • Verantwoordelijkheid voor het eigen handelen te nemen.
  • Zo snel mogelijk na ontdekking van de kwetsbaarheid deze aan ons door te geven via security@wshd.nl
  • Misbruik de zwakheid niet door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen jouw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners.
  • Geef in jouw melding zo nauwkeurig mogelijk informatie over het probleem. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende.
  • Geef in jouw melding jouw contactgegevens aan zodat we met je in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
  • Deel de informatie over het beveiligingsprobleem niet met anderen, totdat het is opgelost.
  • De kwetsbaarheid pas openbaar maken nadat dit is overeengekomen tussen ons en jou. Waarbij alle betrokken organisaties goed zijn geïnformeerd en passende maatregelen hebben kunnen nemen. Openbaar maken van de kwetsbaarheid kan pas na de termijn die wij daarvoor hebben gesteld.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
  • Kopieer, wijzig of verwijder geen gegevens van het systeem.
  • Breng geen veranderingen in het systeem aan.
  • Maak geen gebruik van Denial of Service.
  • Plaats geen malware.

Wat je van ons kunt verwachten:

  • Een ontvangstbevestiging van jouw melding binnen drie werkdagen met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Anonimiteit van jou. Een uitzondering hierop is politie en justitie, in geval van aangifte of indien gegevens worden opgeëist.
  • Goed overleg tussen jou en ons met betrekking tot het verhelpen van de kwetsbaarheid. Je wordt op de hoogte gesteld van onze beoordeling van jouw melding en de verdere stappen die in het proces worden genomen.
  • Het is helaas niet mogelijk bij voorbaat juridische stappen tegen jou uit te sluiten. We willen elke situatie apart kunnen afwegen. We achten ons zelf moreel verplicht om aangifte te doen op moment dat we het vermoeden hebben dat de zwakheid of gegevens misbruikt worden, of dat je kennis over de zwakheid met anderen hebt gedeeld. Je kunt er op rekenen dat een toevallige ontdekking in onze online omgeving niet tot aangifte zal leiden. Als je je aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen tegen jou ondernemen betreffende de melding.
  • We houden zestig dagen aan voor het verhelpen van een kwetsbaarheid in systemen en zes maanden voor oplossen van een kwetsbaarheid in computer apparatuur van het waterschap. In onderling overleg kan worden bepaald of en op welke wijze informatie over het probleem, nadat het is opgelost, wordt gepubliceerd.
  • Als dank voor jouw hulp bieden wij een ludieke beloning voor elke melding van een ons nog onbekend en serieus beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn. In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.