Bij Acme Corporation vinden wij de veiligheid van
onze systemen erg belangrijk. Ondanks onze zorg voor
de beveiliging van onze systemen kan het
voorkomen dat er toch een zwakke plek is.
Als u een zwakke plek in één van
onze systemen heeft gevonden horen wij dit graag
zodat we zo snel mogelijk maatregelen kunnen
treffen. Wij willen graag met u samenwerken om onze
klanten en onze systemen beter te kunnen
beschermen.
Wij vragen u:
- Uw bevindingen te mailen naar
cert@example.com.
Versleutel uw bevindingen met onze
PGP key
om te voorkomen dat de informatie in verkeerde
handen valt,
-
Het probleem niet te misbruiken door
bijvoorbeeld meer data te downloaden dan
nodig is om het lek aan te tonen of gegevens
van derden in te kijken, verwijderen of aanpassen,
-
Het probleem niet met anderen te delen
totdat het is opgelost en alle vertrouwelijke
gegevens die zijn
verkregen via het lek direct na het dichten van het
lek te wissen,
-
Geen gebruik te maken van aanvallen op
fysieke beveiliging, social engineering,
distributed denial of service, spam of
applicaties van derden, en
-
Voldoende informatie te geven om het
probleem te reproduceren zodat wij het zo
snel mogelijk kunnen oplossen. Meestal is
het IP-adres of de URL van het getroffen
systeem en een omschrijving van de
kwetsbaarheid voldoende, maar bij complexere
kwetsbaarheden kan meer nodig zijn.
Wat wij beloven:
- Wij reageren binnen 3 dagen op uw
melding met onze beoordeling van de melding en
een verwachte datum voor een oplossing,
- Als u zich aan bovenstaande voorwaarden
heeft gehouden zullen wij geen juridische
stappen tegen u ondernemen betreffende de
melding,
- Wij behandelen uw melding vertrouwelijk en
zullen uw persoonlijke gegevens niet zonder uw
toestemming met derden delen tenzij dat noodzakelijk
is om een wettelijke verplichting na te komen. Melden
onder een pseudoniem is mogelijk,
- Wij houden u op de hoogte van de voortgang
van het oplossen van het probleem,
- In berichtgeving over het gemelde probleem
zullen wij, indien u dit wenst, uw naam
vermelden als de ontdekker, en
- Als dank voor uw hulp bieden wij een
beloning aan voor elke melding van een ons nog
onbekend beveiligingsprobleem. De grootte van de
beloning bepalen wij aan de hand van de ernst
van het lek en de kwaliteit van de melding met
een minimum van een waardebon van €50,-.
Wij streven er naar om alle problemen zo snel mogelijk
op te lossen en wij worden graag betrokken bij een
eventuele publicatie over het probleem nadat het is
opgelost.
Over de tekst
Deze tekst beschrijft het responsible disclosure
beleid van het fictieve bedrijf
ACME corporation
als aanvulling op de
leidraad responsible disclosure die het NCSC
heeft gepubliceerd. Als u deze tekst wilt gebruiken zult
u in ieder geval de bedrijfsnaam, het email adres en de
bijbehorende PGP key aan moeten passen. Voor de
vindbaarheid is het aan te raden om de tekst op een
standaard lokatie te plaatsen
(www.example.com/security).
Het is aan te raden om goed af te bakenen wat
acceptabele aanvalsmethoden en doelen zijn. De
voorbeelden die ik gegeven heb zullen voor de meeste
organisaties van toepassing zijn, maar het kan ook
een goede optie zijn om het beleid te beperken tot
alleen een bepaalde set producten.
Ik wil organisaties en hackers aanmoedigen om
feedback te geven over deze tekst. De feedback zal
ik gebruiken om de tekst zelf te verbeteren, of om
verdere uitleg te geven zodat iedereen er maximaal
profijt van heeft.
Deze tekst is geschreven door
Floor Terra en is
gepubliceerd onder een Creative Commons
Naamsvermelding 3.0 licentie.
Met dank aan feedback van en discussie met:
Deloitte,
Rickey Gevers,
Oscar Koeroo,
Ronald Prins (Fox IT),
@JeroenSlobbe,
NCSC,
@WhatSecurity
en anderen.