Informatiebeveiliging

Bij urgente veiligheidszaken kunt u contact opnemen met informatie Security Officer van de NAK (iSO). De iSO is bereikbaar via isecurity@nak.nl. U kunt ook per mail een terugbelverzoek indienen als u dat liever heeft/veiliger vindt. In onderling overleg wordt dan de gewenste wijze van informatieoverdracht afgesproken. Voor minder urgente veiligheidszaken kunt u op de gebruikelijke wijze contact opnemen met de NAK.

Responsible Disclosure

De NAK streeft een hoog niveau van beveiliging na. Het kan echter onverhoopt voorkomen dat er een zwakke plek in het NAK-systeem zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan de NAK melden. U mag de NAK houden aan dit beleid ten aanzien van Responsible Disclosure.

Kwetsbaarheden in ICT-systemen van de NAK

De NAK hoort graag als u een kwetsbaarheid in de ICT-systemen van de NAK heeft gevonden, zodat de NAK de benodigde maatregelen kan treffen. De NAK werkt graag samen met u om de veiligheid van de ICT-systemen te verbeteren en vraagt u daarom:

  • Zo snel mogelijk na ontdekking van de kwetsbaarheid uw bevindingen aan de NAK door te geven via isecurity@nak.nl. Over bevindingen met mogelijk grote risico’s of grote impact hebben we graag overleg over de wijze van informatieoverdracht om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie te geven om het probleem te reproduceren, zodat we dit zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Uw contactgegevens in uw e-mail te vermelden, zodat de iSO met u in contact kan komen om samen te werken aan een veilig resultaat. Minimaal vereist zijn een e-mailadres of telefoonnummer.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat dit is opgelost.
  • Verantwoordelijk om te gaan met de kennis van het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
  • U te realiseren dat bekendmaking van eventuele informatie uit NAK-systemen in voorkomende gevallen strafbaar is en kan leiden tot vervolging en/of een schadeclaim.

Vermijd in elk geval

  • Het plaatsen van malware of enige software op het NAK-systeem.
  • Het kopiëren, wijzigen of verwijderen van gegevens of configuraties van een systeem. Een alternatief hiervoor is het maken van een directorylisting of screenshot.
  • Het gebruik van het zogeheten ‘bruteforcen’ om toegang tot systemen te verkrijgen.
  • Het gebruik van ‘denial-of-service’ aanvallen of ‘social engineering’.
  • Het verder uitnutten van de kwetsbaarheid dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Het aanbrengen van veranderingen in het NAK-systeem anders dan noodzakelijk om de kwetsbaarheid vast te stellen.
  • Het gebruik van geautomatiseerde scantools en stuur geen niet-geverifieerde output van dergelijke tools. Scantools genereren vaak ‘false positives’. Alleen door de melder geverifieerde beveiligingsfouten worden door de NAK in behandeling genomen.

U mag het volgende van de NAK verwachten

  • Als uw melding aan de bovenstaande voorwaarden voldoet, verbindt de NAK geen juridische consequenties aan deze melding. De NAK behandelt uw melding strikt vertrouwelijk en deelt geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • De NAK stuurt u binnen 2 werkdagen een ontvangstbevestiging.
  • De NAK reageert binnen 5 werkdagen op uw melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • De NAK houdt u van de voortgang op de hoogte.
  • De NAK lost het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepaalt de NAK wanneer en op welke wijze hierover wordt gepubliceerd.
  • Als een kwetsbaarheid niet of moeilijk op te lossen is of indien er hoge kosten mee gemoeid zijn, kan in onderling overleg worden afgesproken om de kwetsbaarheid niet openbaar te maken.
  • De NAK houdt zich het recht voor indien een kwetsbaarheid vermoedelijk ook op andere plaatsen en bij andere organisaties aanwezig zal zijn, informatie over de kwetsbaarheid met de ICT-community te delen.
  • In onderling overleg kan de NAK, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Als dank voor uw hulp biedt de NAK een beloning voor elke melding van een nog onbekend en serieus NAK-beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn.