Responsible disclosure

Responsible disclosure

Bij Groningen Seaports vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen, kan het voorkomen dat er toch een zwakke plek is. Als je een zwakke plek in één van onze systemen hebt gevonden, horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze klanten en onze systemen beter te kunnen beschermen. Je kunt een melding sturen naar security@groningen-seaports.com.

Wat te doen:

  • Doe een melding zo snel als mogelijk om te voorkomen dat een kwaadwillende de kwetsbaarheid ook vindt en er misbruik van kan maken.
  • Doe een melding op een vertrouwelijke manier bij de organisatie om te voorkomen dat anderen ook toegang kunnen krijgen tot deze informatie.
  • Geef voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat niet te doen:

  • Onthul de kwetsbaarheid of het probleem niet aan anderen totdat het is opgelost.
  • Plaats geen eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen. • Misbruik een kwetsbaarheid niet verder dan noodzakelijk om de kwetsbaarheid vast te stellen.
  • Kopieer, wijzig of verwijder geen gegevens van het systeem. Een alternatief hiervoor is het maken van een directory listing van een systeem.
  • Breng geen veranderingen aan in het systeem.
  • Verkrijg niet herhaaldelijk toegang tot het systeem of deel de toegang met anderen.
  • Maak geen gebruik van bruteforce attacks, social engineering, aanvallen op fysieke beveiliging, distributed denial of service, spam of applicaties van derden om toegang te krijgen tot systemen.

Wat is uitgesloten:

  • Microsoft Office 365 omgeving. Kwetsbaarheden voor deze omgeving kunnen hier gemeld worden.

Wat wij beloven:

  • Wij proberen binnen 5 werkdagen op je melding te reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als je je aan bovenstaande voorwaarden hebt gehouden, ondernemen wij geen juridische stappen tegen je betreffende de melding.
  • Wij behandelen je melding vertrouwelijk en delen je persoonlijke gegevens niet zonder toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem of anoniem is mogelijk.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Dit ‘responsible disclosure’-beleid is gebaseerd op een voorbeeld geschreven door Floor Terra en de leidraad responsible disclosure van het NCSC.

Versie: 1.0
Datum: 8 maart 2023