Naar hoofdinhoud Naar footer

Coordinated Vulnerability Disclosure

For English click here.

Het Wilhelmina Ziekenhuis Assen (WZA) hecht veel belang aan de veiligheid van zijn (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Als u zo’n kwetsbaarheid ontdekt, kunt u dit veilig aan ons melden. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure. Op deze manier kan het WZA beschermende maatregelen treffen.

Melding maken van een kwetsbaarheid

Als u een kwetsbaarheid heeft gevonden horen wij dit graag, zodat we zo snel als mogelijk maatregelen kunnen treffen. Het WZA wil graag met u samenwerken om onze klanten en systemen nog beter te kunnen beschermen.

Wanneer u via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding, indien u zich houdt aan de volgende regels: · Verzeker u ervan dat uw melding ‘in scope’ is. Op www.z-cert.nl/cvd-melden kunt u controleren wat als niet ‘in scope’ wordt beschouwd.

  • U meldt uw bevindingen bij Stichting Z-CERT. Gebruik hiervoor het mailtemplate dat u kunt vinden op https://www.z-cert.nl/cvd-melden. Stuur dit volledig ingevuld naar cvd@z-cert.nl, eventueel dit doen, eventueel gebruik makend van Z-CERT’s publieke PGP-sleutel. Stichting Z-CERT handelt voor het WZA Coordinated Vulnerability Disclosure meldingen af. Zij werken samen met u als melder en met het WZA om te zorgen dat uw melding wordt opgepakt.
  • In uw melding geeft u voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk. U kunt een proof of concept als bijlage meesturen.
  • U misbruikt de geconstateerde kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
  • Als u vermoedt dat u via een kwetsbaarheid medische gegevens kan inzien, vragen wij u dit niet zelf te verifiëren, maar dit door ons te laten doen.
  • U deelt uw bevindingen niet met anderen, voordat het is opgelost. Daarnaast vragen wij u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen.
  • U doet geen aanval(len) op onze (fysieke) beveiliging d.m.v. social engineering, distributed denial of service, spam, brute-force aanvallen, applicaties van derden en/of andere typen aanvallen.

Hoe wij omgaan met uw melding:

  • Het WZA en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
  • U krijgt een ontvangstbevestiging van Z-CERT en binnen vijf werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zal het WZA, als u dit wenst, uw naam vermelden als de ontdekker.
  • Het WZA is een non-profit organisatie en biedt geen geldelijke beloning voor gemelde beveiligingsproblemen. De melder krijgt voor een valide melding wel een vermelding in de WZA Hall of Fame.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen. Samen overleggen wij daarna over de meerwaarde van een eventuele publicatie van het opgeloste probleem.

 

Met dank aan Floor Terra voor zijn voorbeeldtekst op http://responsibledisclosure.nl/

[publicatiedatum: 16 februari 2023]