Kwetsbaarheid melden
Bij ICTU vinden wij de veiligheid van onze systemen belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen (zoals onze website of andere systemen die wij gebruiken of ontwikkelen) kan het voorkomen dat er toch een zwakke plek wordt gesignaleerd.
Mocht je een zwakke plek in één van onze systemen vinden dan horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen.
Wij vragen je om in dat geval jouw bevindingen zo snel mogelijk te mailen naar securityalerts@ictu.nl. Wij nemen deze dan in samenspraak met deskundige instanties zoals het NCSC in behandeling en lossen deze zo snel mogelijk op.
Daarnaast vragen wij je om:
- Het mogelijke probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om een mogelijk lek aan te tonen of door gegevens van derden in te kijken, te verwijderen of aan te passen
- Bevindingen niet met anderen te delen totdat we deze zonodig hebben opgelost
- Eventuele vertrouwelijke gegevens die zijn verkregen door een potentieel lek direct na het dichten van dit lek te wissen
- Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden
- Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende maar bij complexere kwetsbaarheden kan meer informatie nodig zijn
Wat kun je van ons verwachten?
- Wij behandelen jouw melding vertrouwelijk en zullen persoonlijke gegevens niet zonder toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk
- Bij het volgen van bovenstaande voorwaarden worden geen juridische stappen tegen je ondernomen betreffende de melding
- Wij nemen jouw melding zo snel als mogelijk en in ieder geval binnen maximaal 3 werkdagen in behandeling. Je krijgt een ontvangstbevestiging van de melding, inclusief een indicatie van de termijn waarop het probleem is opgelost
- Wij houden je op de hoogte van de voortgang van het oplossen van het probleem, en zullen je graag op passende wijze bedanken voor jouw hulp bij een melding van een ons nog onbekend beveiligingsprobleem