Waterschap Brabantse Delta streeft ernaar om ook binnen het digitale domein een veilige en stabiele infrastructuur te bieden. Daarom is het essentieel dat ook de ICT-systemen van Waterschap Brabantse Delta veilig zijn. Waterschap Brabantse Delta streeft naar een hoog beveiligingsniveau van zijn ICT- en processystemen. Je kunt ons helpen om dit niveau hoog te houden.

Het kan onverhoopt voorkomen dat een van onze systemen een kwetsbaarheid bevat. Mocht je een kwetsbaarheid in onze systemen ontdekt hebben dan horen wij dat graag zodat we zo snel mogelijk maatregelen kunnen treffen om onze systemen weer veilig te maken.

Het melden van een (mogelijke) kwetsbaarheid geschiedt via een “Responsible Disclosure” procedure. Deze Responsible Disclosure (RD) procedure wordt op deze pagina nader toegelicht. De procedure kent 2 facetten:

  • Voorwaarden (wij vragen u)
  • Procedure

Voorwaarden/Wij vragen je

  • Verantwoordelijk om te gaan met de gevonden kwetsbaarheid en om deze op geen enkele wijze te misbruiken. Dit betekent (maar is niet beperkt tot):
    • Downloaden, kopiëren, modificeren of verwijderen van data
    • Besturen van systemen / (D)DOS aanvallen uitvoeren
    • Toepassen van Social Engineering
    • Plaatsen van malware
    • Versturen van SPAM berichten naar of namens Waterschap Brabantse Delta
    • De gevonden kwetsbaarheid zo snel mogelijk na constatering wordt doorgegeven
    • De gevonden kwetsbaarheid niet te delen met “anderen”
    • Eventueel verkregen data te verwijderen.

Procedure

  1. Stuur jouw bevindingen versleuteld naar onze security partner, het CERT-WM. Versleutel deze gegevens middels PGP of gebruik een ZIP bestand welke met een wachtwoord versleuteld is. Stuur in voorgaand voorbeeld het wachtwoord per SMS en niet in dezelfde of opvolgende e-mail. De contactgegevens van het CERT-WM zijn als volgt:
    CERT-WM
    cert@hetwaterschapshuis.nl
    Mobiel: +31651256522
    PGP: Indien je gebruik wilt maken van een PGP sleutel dan kun je de actuele PGP sleutel van cert@hetwaterschapshuis.nl opzoeken met behulp van deze link
  2. Vermeld voldoende gegevens zodat wij de kwetsbaarheid kunnen verifiëren en het probleem kunnen reproduceren. Denk hierbij b.v. aan betreffende URL’s en IP adressen.
  3. Vermeld voldoende gegevens zodat we contact op kunnen nemen met jou. Vermeld minimaal je e-mailadres en bij voorkeur je telefoonnummer.
  4. Je ontvangt vanuit het CERT-WM binnen 3 werkdagen een ontvangstbevestiging van jouw RD melding.
  5. Het CERT-WM reageert uiterlijk binnen 30 werkdagen inhoudelijk op de RD melding. Deze inhoudelijke berichtgeving geeft eveneens inzicht in de verwachte oplosdatum.
  6. Indien gewenst word je door ons op de hoogte gehouden van voortgang omtrent de oplossing.
  7. Je ontvangt als dank voor je hulp, oplettendheid en professionele afhandeling van de RD melding een passende / ludieke beloning (nooit in geldelijke vorm). De aard en grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.
  8. Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Als je een Responsible Disclosure melding maakt betekent dit dat wij:

  • geen juridische stappen tegen jou ondernemen betreffende de RD melding als je je aan bovenstaande voorwaarden hebt gehouden.
  • jouw melding vertrouwelijk zullen behandelen en jouw persoonlijke gegevens niet zonder jouw toestemming met derden zullen delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • indien gewenst jouw naam zullen vermelden bij berichtgeving over de gemelde kwetsbaarheid.