Sprint naar content
Regelingen, statuten en reglementen

Coordinated Vulnerability Disclosure

Coordinated Vulnerability Disclosure (CVD), voorheen Responsible Disclosure, is het op een verantwoorde wijze en in gezamenlijkheid (gecoördineerd) tussen melder en organisatie openbaar maken (disclosure) van ICT-kwetsbaarheden (vulnerability). Hoe Fontys omgaat met CVD, welke randvoorwaarden wij hanteren en welke beloftes wij geven, is hieronder beschreven.

Fontys Hogeschool vindt de veiligheid en ongestoorde werking van onze informatievoorziening erg belangrijk en omarmt daarom het principe van CVD, wij staan open voor meldingen van ICT-kwetsbaarheden van buitenaf. Ondanks de zorg en aandacht voor de beveiliging van onze informatievoorziening kan een zwakke plek voorkomen. Mocht jij, als goedwillend ethisch hacker, er een ontdekt hebben dan is ons verzoek dit te melden.

Wat verwacht Fontys van jou:

  • Lees eerst aandachtig dit CVD-beleid en volg de richtlijnen zorgvuldig op ! Let op: niet voldoen aan de eisen kan leiden tot strafrechtelijke vervolging door Fontys of het OM, zie desbetreffende paragraaf verderop.
  • Meld jouw bevinding(en) over de gevonden kwetsbaarheid in onze systemen zo snel mogelijk via het Meldformulier kwetsbaarheden om Fontys de kans te geven de kwetsbaarheid te verhelpen en daarmee te voorkomen dat informatie in verkeerde handen valt.
  • De melder mag het doen van een melding of verdere verstrekking van informatie niet afhankelijk maken van een eventuele beloning.
  • Handel proportioneel dus niet meer verzamelen, bekijken, onderzoeken dan nodig is om de kwetsbaarheid inzichtelijk te maken.
  • Volg het subsidiariteitsvereiste: beperk je tot de basale manieren/methoden om het lek aan te tonen in plaats van verregaand (en potentieel schadeveroorzakend) onderzoek, zoals permanente actieve scans. Het Fontys CVD-beleid is géén oproep om ons netwerk, infrastructuur, systemen of applicaties uitgebreid of permanent actief te scannen op zoek naar zwakke plekken en kwetsbaarheden. Fontys monitort zelf haar eigen bedrijfsnetwerk. De kans is groot dat we daarbij jouw scan detecteren waarna ons Security Operation Center onderzoek verricht, wat mogelijk leidt tot onnodige kosten.
  • Voorkom misbruik van de gevonden kwetsbaarheid door (enkele voorbeelden, niet uitputtend):
    • - onnodig lang of meer data te downloaden of inzien dan nodig is
    • - gegevens te veranderen, verwijderen, verplaatsen, kopiëren of andere verwerkingen
    • - eigen voordeel of gewin te behalen, of anderen te schaden, en/of om Fontys onder druk te zetten
  • Wees extra terughoudend bij persoonsgegevens. Voorkom en vermijd inzage, kopiëren, doorsturen of enige andere verwerking hiermee. Neem geen gevonden persoonsgegevens op in de melding.
  • Deel de kwetsbaarheid niet met anderen totdat deze is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, (distributed) denial-of-service (DDOS), malware, spam of andere technieken die schadelijk (kunnen) zijn voor de toegang tot onze gegevens of werking van onze omgeving.
  • Geef voldoende bewijsinformatie via het online meldformulier (in tekst-veld of eventueel in een meegestuurde bijlage) waarmee Fontys zelf de kwetsbaarheid kan reproduceren, zodat wij deze zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen om deze zichtbaar te maken voldoende. Bij complexere kwetsbaarheden kan meer toelichting nodig zijn, gebruik dan een apart bestand om deze informatie bij elkaar te zetten en upload het als .pdf bijlage in het online meldformulier.

Wat mag jij (melder) verwachten van Fontys?

  • Wij doen in principe geen aangifte of ondernemen andere juridische stappen als er binnen de gestelde voorwaarden onderzocht en gemeld is.
  • Wij reageren richting jou (melder) binnen 5 werkdagen met onze beoordeling van de ingediende melding en een verwachte datum voor een oplossing (streeftermijn: 60 dagen).
  • Wij behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder je toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden jou op de hoogte van de voortgang van het oplossen van de kwetsbaarheid.
  • Als dank voor jouw hulp bieden wij een waardering aan door jou op te nemen in onze Wall-of-Fame. Indien je dit aangeeft plaatsen we jouw naam, datum melding, en desgewenst een link naar je persoonlijke pagina op onze Wall-of-Fame.
  • In berichtgeving over de gemelde kwetsbaarheid zullen wij, als je dit wilt, je naam vermelden als de ontdekker hiervan. In incidentele gevallen bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding of er een beloning mogelijk is.
  • Je kunt anoniem of onder een pseudoniem melden. Wij kunnen dan echter geen contact met je opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning/waardering voor de melding.
  • Wij streven ernaar om alle uit de kwetsbaarheid voortkomende problemen zo snel mogelijk op te lossen en zullen -indien relevant- alle betrokken partijen op de hoogte te houden. De oplostermijn hangt sterk af van de aard van de kwetsbaarheid en type systeem (richtlijn: 60 dagen voor software, 6 maanden voor hardware).
  • Afhankelijk of een kwetsbaarheid niet of heel moeilijk is op te lossen, of dat er onevenredig hoge kosten gemoeid zijn met het verhelpen, kan Fontys eventueel in overleg met melder een kwetsbaarheid als geaccepteerd risico beschouwen en niet te verhelpen.
  • Wij maken met de melder op een gecoördineerde manier duidelijke afspraken over eventuele openbaarmaking van de kwetsbaarheid, nadat deze is opgelost.

Strafrechtelijke vervolging / Openbaar Ministerie

Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Indien je je aan bovenstaande voorwaarden houdt, onderneemt Fontys geen juridische stappen tegen je.

Het Openbaar Ministerie (OM) verwacht van ethische hackers dat zij zich in het CVD-beleid van een organisatie hebben verdiept of de ‘Leidraad Coordinated Vulnerability Disclosure’ van het Nationaal Cyber Security Centrum hebben geraadpleegd voordat zij starten met zoeken naar en melden van kwetsbaarheden.

De officier van justitie bepaalt aan de hand van de volgende criteria of sprake is van CVD / ethisch hacken:

  • Is er gehandeld in het kader van een wezenlijk maatschappelijk belang?
  • Is er sprake van proportioneel handelen? (ging de hacker niet verder dan noodzakelijk was om zijn doel te bereiken)
  • Is er voldaan aan het subsidiariteitsvereiste? (was er geen minder vergaande manier om het door de hacker beoogde doel te bereiken)

Het OM beslist zelf of het een (ethical) hacker strafrechtelijk vervolgt. Als een ethische hacker een kwetsbaarheid vindt in het ICT-systeem van een organisatie en dit meldt aan de desbetreffende organisatie, dan wordt er in principe geen strafrechtelijk onderzoek ingesteld.
Lees meer: https://www.om.nl/documenten/richtlijnen/2020/december/14/om-beleidsbrief-ethisch-hacken.

Meldformulier kwetsbaarheden Wall of Fame

Bij vragen of onduidelijkheden over het Fontys CVD-beleid contacteer ISP-office@fontys.nl.

Ons beleid valt onder een Creative Commons Naamsvermelding (BY) 3.0-licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra.