Een zwakke plek in een ICT-systeem van het COA melden?

Een zwakke plek in een ICT-systeem van COA, zoals COA.nl, kunt u melden aan het Nationaal Cyber Security Centrum (NCSC). U kunt dit melden via e-mail. Meld de kwetsbaarheid voordat u dit aan de buitenwereld kenbaar maakt. Zo kan het COA eerst maatregelen treffen. Dit heet Responsible Disclosure.

Waar u aan moet denken bij Responsible Disclosure

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan het probleem zo snel mogelijk worden opgelost. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat er met u contact kan worden opgenomen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet u bij uw melding aan deze voorwaarden? Dan worden er geen juridische consequenties aan de melding verbonden.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen;
  • Gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • Veranderingen aan te brengen in het systeem;
  • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
  • Gebruik te maken van denial-of-service of social engineering.

Wat er wordt gedaan bij Responsible Disclosure

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? De melding wordt als volgt behandeld:

  • U krijgt binnen 1 werkdag een ontvangstbevestiging;
  • U krijgt binnen 3 werkdagen een reactie op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing;
  • Als melder wordt u op de hoogte gehouden van de voortgang van het oplossen van het probleem;
  • Het beveiligingsprobleem zal zo snel mogelijk worden opgelost, maar uiterlijk binnen 60 dagen. Samen met u zal er bepaald worden of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost;
  • Als dank voor de hulp wordt u een beloning aangeboden.

Uw melding wordt vertrouwelijk behandeld. Persoonlijke gegevens worden niet zonder toestemming van u met derden gedeeld. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. Als u dat wilt, kan uw naam worden vermeld als de ontdekker van de gemelde kwetsbaarheid.