Waterschap Brabantse Delta streeft ernaar om ook binnen het digitale domein een veilige en stabiele infrastructuur te bieden. Daarom is het essentieel dat ook de ICT-systemen van Waterschap Brabantse Delta veilig zijn. Waterschap Brabantse Delta streeft naar een hoog beveiligingsniveau van zijn ICT- en processystemen. U kunt ons helpen om dit niveau hoog te houden.

Het kan onverhoopt voorkomen dat een van onze systemen een kwetsbaarheid bevat. Mocht u een kwetsbaarheid in onze systemen ontdekt hebben dan horen wij dat graag zodat we zo snel mogelijk maatregelen kunnen treffen om onze systemen weer veilig te maken.

Het melden van een (mogelijke) kwetsbaarheid geschiedt via een “Responsible Disclosure” procedure. Deze Responsible Disclosure (RD) procedure wordt op deze pagina nader toegelicht. De procedure kent 2 facetten:

  • Voorwaarden (wij vragen u)
  • Procedure

Voorwaarden/Wij vragen u

  • Verantwoordelijk om te gaan met de gevonden kwetsbaarheid en om deze op geen enkele wijze te misbruiken. Dit betekent (maar is niet beperkt tot):
    • Downloaden, kopiëren, modificeren of verwijderen van data
    • Besturen van systemen / (D)DOS aanvallen uitvoeren
    • Toepassen van Social Engineering
    • Plaatsen van malware
    • Versturen van SPAM berichten naar of namens Waterschap Brabantse Delta
    • De gevonden kwetsbaarheid zo snel mogelijk na constatering wordt doorgegeven
    • De gevonden kwetsbaarheid niet te delen met “anderen”
    • Eventueel verkregen data te verwijderen.

Procedure

  1. Stuur uw bevindingen versleuteld naar onze security partner, het CERT-WM. Versleutel deze gegevens middels PGP of gebruik een ZIP bestand welke met een wachtwoord versleuteld is. Stuur in voorgaand voorbeeld het wachtwoord per SMS en niet in dezelfde of opvolgende e-mail. De contactgegevens van het CERT-WM zijn als volgt:
    CERT-WM
    cert@hetwaterschapshuis.nl
    Mobiel: +31651256522
    PGP: Indien je gebruik wilt maken van een PGP sleutel dan kun je de actuele PGP sleutel van cert@hetwaterschapshuis.nl opzoeken met behulp van deze link
  2. Vermeld voldoende gegevens zodat wij de kwetsbaarheid kunnen verifiëren en het probleem kunnen reproduceren. Denk hierbij b.v. aan betreffende URL’s en IP adressen.
  3. Vermeld voldoende gegevens zodat we contact met u op kunnen nemen. Vermeld minimaal uw e-mailadres en bij voorkeur uw telefoonnummer.
  4. U ontvangt vanuit het CERT-WM binnen 3 werkdagen een ontvangstbevestiging van uw RD melding.
  5. Het CERT-WM reageert uiterlijk binnen 30 werkdagen inhoudelijk op de RD melding. Deze inhoudelijke berichtgeving geeft eveneens inzicht in de verwachte oplosdatum.
  6. Indien gewenst wordt u door ons op de hoogte gehouden van voortgang omtrent de oplossing.
  7. U ontvangt als dank voor uw hulp, oplettendheid en professionele afhandeling van de RD melding een passende / ludieke beloning (nooit in geldelijke vorm). De aard en grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.
  8. Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Als u een Responsible Disclosure melding maakt betekent dit dat wij:

  • Geen juridische stappen tegen u ondernemen betreffende de RD melding als u zich aan  bovenstaande voorwaarden heeft gehouden.
  • Dat wij uw melding vertrouwelijk zullen behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden zullen delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Dat wij, indien gewenst uw naam zullen vermelden bij berichtgeving over de gemelde kwetsbaarheid.