Responsible disclosure
GGZ inGeest hecht veel belang aan de beveiliging van de digitale middelen die we gebruiken. We gaan daarom met de grootste zorg om met de beveiliging van uw en onze gegevens.
Samenwerken met Responsible disclosure
Toch kan het voorkomen dat er sprake is van een kwetsbaarheid in onze systemen. Als u zo’n kwetsbaarheid ontdekt, kunt u dit veilig aan ons melden. Dan kan GGZ inGeest beschermende maatregelen treffen. Deze manier van samenwerken noemen we Responsible disclosure.
Wij vragen u zich te houden aan de volgende regels:
- U meldt uw bevindingen bij Stichting Z-CERT door een e-mail te sturen naar cvd@z-cert.nl. U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor GGZ inGeest Coordinated Vulnerability Disclosure-meldingen afhandelt. Zij werken samen met u als melder en met GGZ inGeest om te zorgen dat uw melding wordt opgepakt.
- In uw melding geeft u voldoende informatie zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk.
- U misbruikt de geconstateerde kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
- Als u vermoedt dat u via een kwetsbaarheid medische of andere persoonsgegevens kan inzien, vragen wij u dit niet zelf te proberen. Dit controleren we graag vanuit GGZ inGeest.
- U deelt uw bevindingen niet met anderen voordat het is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u hebt verkregen naar ons te sturen en na bevestiging van goede ontvangst direct te wissen.
- U doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden.
- GGZ inGeest en Z-CERT behandelen uw melding vertrouwelijk. We delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
- U krijgt een ontvangstbevestiging van Z-CERT en binnen 5 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
- Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
- In berichtgeving over het gemelde probleem zal GGZ inGeest, als u dit wenst, uw naam vermelden als de ontdekker.
- We streven ernaar om alle problemen zo snel mogelijk op te lossen. Samen overleggen we daarna over de meerwaarde van een eventuele publicatie van het opgeloste probleem.
Met dank aan Floor Terra voor zijn voorbeeldtekst op responsibledisclosure.nl.
GGZ inGeest neemt geen triviale kwetsbaarheden of security issues die niet misbruikt kunnen worden, in behandeling. Hieronder staan voorbeelden van bekende kwetsbaarheden en security issues die buiten bovenstaande regeling vallen. Dit houdt niet in dat ze niet opgelost zouden moeten worden, echter bij ons CVD-proces gaat het om melden van zaken waar direct misbruik van gemaakt kan worden. Bijvoorbeeld een kwetsbaarheid waar een werkende exploit voor bestaat of een misconfiguratie waardoor een bestaande security control te omzeilen is. Deze lijst is afgeleid van de lijst van die het CERT van Surf hanteert.
- HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina’s
- Fingerprinting/versievermelding op publieke services
- Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
- Clickjacking en problemen die alleen te exploiten zijn via clickjacking
- Geen secure/HTTP-only flags op ongevoelige cookies
- OPTIONS HTTP method ingeschakeld
- Rate limiting kwetsbaarheden zonder duidelijke impact
- Alles gerelateerd tot HTTP security headers, bijvoorbeeld:
- Strict-Transport-Security
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Content-Security-Policy
- Issues met SSL-configuratie
- SSL Forward secrecy uitgeschakeld
- Ontbrekende TXT record voor DMARC of CAA record
- Host header injection
- Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit