Beveiliging digitale dienstverlening

Responsible Disclosure

Het kan onverhoopt voorkomen dat er een zwakke plek in een van de systemen van de Justitiële Informatiedienst zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan ons melden. U mag de Justitiële Informatiedienst houden aan dit protocol ten aanzien van Responsible Disclosure.

Kwetsbaarheden in ICT-systemen van de Justitiële Informatiedienst

Als u een kwetsbaarheid in de ICT-systemen van de Justitiële Informatiedienst hebt gevonden, horen wij dit graag van u, zodat wij zo snel mogelijk de benodigde maatregelen kunnen treffen. Wij willen graag met u samenwerken om de veiligheid van onze ICT-systemen te verbeteren.

Wij vragen u om:

• zo snel mogelijk na ontdekking van de kwetsbaarheid deze aan ons door te geven,
• uw bevindingen te e-mailen naar info@justid.nl,
• voldoende informatie te geven om het probleem te reproduceren, zodat we dit zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn,
• uw contactgegevens (minimaal e-mail adres of telefoonnummer) achter te laten, zodat wij met u in contact kunnen komen om samen te werken aan een veilig resultaat,
• de informatie over het beveiligingsprobleem niet met anderen te delen totdat de Justitiële Informatiedienst contact met u heeft opgenomen en heeft aangegeven dat het is opgelost,
• verantwoordelijk om te gaan met de kennis van het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen,
• u te realiseren dat eventuele informatie uit systemen van de Justitiële Informatiedienst valt onder de geheimhoudingsplicht en dat verder bekendmaken van die informatie strafbaar is.

Vermijd in elk geval:

• het plaatsen van malware,
• het kopiëren, wijzigen of verwijderen van gegevens of configuraties van een systeem (een alternatief hiervoor is het maken van een directorylisting of screenshot),
• veranderingen aan te brengen in het systeem,
• het herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen,
• het gebruik van het zogeheten 'bruteforcen' om toegang tot systemen te verkrijgen,
• het gebruik van denial-of-service aanvallen of social engineering.

U mag het volgende van ons verwachten:

• Als uw melding aan de bovenstaande voorwaarden voldoet, verbinden wij geen juridische consequenties aan deze melding. Wij behandelen uw melding strikt vertrouwelijk en delen geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
• Wij sturen u binnen 1 werkdag na melding van een kwetsbaarheid een ontvangstbevestiging.
• Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij houden u van de voortgang op de hoogte. Wij lossen het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepalen we wanneer en op welke wijze hierover wordt gepubliceerd.
• In onderling overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
• Als dank voor uw hulp bieden wij een ludieke beloning voor elke melding van een ons nog onbekend en serieus beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn.