Waterschap De Dommel wil een veilige en stabiele infrastructuur bieden binnen het digitale domein. Het is belangrijk dat onze ICT-systemen veilig zijn. Daarom streeft het waterschap naar een hoog beveiligingsniveau van zowel ICT- als processystemen. U kunt ons helpen om dit niveau hoog te houden.

Het kan voorkomen dat een van onze systemen een kwetsbaarheid bevat. Mocht u zo'n kwetsbaarheid ontdekt hebben dan horen wij dat graag. Dan kunnen we zo snel mogelijk maatregelen treffen om de systemen weer veilig te maken.

U meldt een (mogelijke) kwetsbaarheid via de “Responsible Disclosure” procedure (RD). De procedure (RD) is hieronder beschreven.

Voorwaarden/Wij vragen u

Verantwoordelijk om te gaan met de gevonden kwetsbaarheid en deze op geen enkele wijze te misbruiken. Dit betekent (maar is niet beperkt tot):

  • Downloaden, kopiëren, modificeren of verwijderen van data
  • Besturen van systemen / (D)DOS aanvallen uitvoeren
  • Toepassen van Social Engineering
  • Plaatsen van malware
  • Versturen van SPAM berichten naar of namens Waterschap De Dommel
  • De gevonden kwetsbaarheid zo snel mogelijk na constatering wordt doorgegeven
  • De gevonden kwetsbaarheid niet te delen met “anderen”
  • Eventueel verkregen data te verwijderen.

Procedure

  1. Stuur uw bevindingen versleuteld naar onze security partner, het CERT-WM. Versleutel deze gegevens middels PGP of gebruik een ZIP bestand welke met een wachtwoord versleuteld is. Stuur in voorgaand voorbeeld het wachtwoord per SMS en niet in dezelfde of opvolgende e-mail. De contactgegevens van het CERT-WM zijn:
    CERT-WM
    cert@hetwaterschapshuis.nl
    Mobiel: +31651256522
    PGP: Wanneer u gebruik wilt maken van een PGP sleutel dan kunt u de actuele PGP sleutel van cert@hetwaterschapshuis.nl zoeken op pgp.surfnet.nl(externe link)
  2. Vermeld voldoende gegevens zodat wij de kwetsbaarheid kunnen verifiëren en het probleem kunnen reproduceren. Denk hierbij aan betreffende URL’s en IP adressen.
  3. Vermeld voldoende gegevens zodat we contact met u op kunnen nemen. Vermeld minimaal uw e-mailadres en bij voorkeur uw telefoonnummer.
  4. U ontvangt vanuit het CERT-WM binnen 3 werkdagen een ontvangstbevestiging van uw RD melding.
  5. Het CERT-WM reageert uiterlijk binnen 30 werkdagen inhoudelijk op de RD melding. De berichtgeving geeft ook inzicht in de verwachte oplosdatum.
  6. Als u dat wenst, wordt u door ons op de hoogte gehouden over de voortgang van de oplossing.
  7. Waterschap De Dommel biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het probleem en de kwaliteit van de melding kan de beloning variëren van een relatiegeschenk tot een cadeaubon.
  8. Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Als u een Responsible Disclosure melding maakt betekent dit dat wij:

  • Geen juridische stappen tegen u ondernemen over de RD melding als u zich aan bovenstaande voorwaarden heeft gehouden.
  • Dat wij uw melding vertrouwelijk behandelen.
  • Dat wij uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Dat wij, als u dat wenst, uw naam vermelden bij berichtgeving over de gemelde kwetsbaarheid.