Responsible disclosure (White hacking)

Amsterdam UMC vindt het waarborgen van een adequate beveiliging van zijn ICT-systemen en de vertrouwelijkheid van informatie bijzonder belangrijk. Ondanks alle inspanningen dit te realiseren kan het voorkomen dat een systeem een zwakke plek heeft.

Als u een zwakke plek in een van onze systemen heeft gevonden, dan horen wij dit graag zodat wij zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze gebruikers en onze systemen en informatie nog beter te kunnen beschermen.

Dit beleid voor Responsible Disclosure is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om zwakke plekken te ontdekken. Brute force aanvallen, (D)DoS en Social Engineering vallen buiten dit Responsible Disclosure beleid.

Er bestaat een kans dat u tijdens uw onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Als u zich aan de onderstaande regels heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. Als er sprake is van overtreding van de regels zijn wij genoodzaakt onze afdeling Juridische Zaken in te schakelen voor een beoordeling.

Het Openbaar Ministerie (OM) van Nederland behoudt altijd het recht zelf te beslissen of u strafrechtelijk vervolgd wordt. Het OM heeft hierover een beleidsbrief gepubliceerd.

Wij vragen u

  • Uw bevindingen zo snel mogelijk te mailen naar rd-cert @ amc.nl. Voor vertrouwelijke informatie vragen wij u om de bevindingen te versleutelen, bijvoorbeeld met onze PGP key, om te voorkomen dat de informatie in verkeerde handen valt;

  • De zwakheid niet te misbruiken door meer data in te zien of te downloaden dan noodzakelijk is om het lek aan te tonen. Een directory listing is voldoende bewijs voor toegang tot een systeem, het is dan niet nodig om ook bestanden te openen, kopiëren, enzovoorts;

  • Geen informatie te veranderen of verwijderen;

  • Vertrouwelijke informatie, zoals b.v. persoonsgegevens, niet met anderen te delen;

  • De zwakheid niet met anderen te delen totdat deze is verholpen;

  • Geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering (inclusief phishing), distributed denial-of-service (DDoS) attacks en brute-force aanvallen op (authenticatie) systemen;

  • Ons voldoende informatie te geven om de zwakheid te reproduceren zodat wij die zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres, de URL van het getroffen systeem, een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn;

  • Openbaar maken is pas toegestaan als de melder en Amsterdam UMC zijn overeengekomen dat de kwetsbaarheid openbaar gemaakt kan worden, alle betrokken goed zijn geïnformeerd en Amsterdam UMC heeft aangegeven dat de kwetsbaarheid is opgelost;

  • Als een kwetsbaarheid niet of moeilijk op te lossen is, of indien er hoge kosten mee gemoeid zijn, is de melder alleen gerechtigd de kwetsbaarheid openbaar te maken na uitdrukkelijke toestemming van Amsterdam UMC. Amsterdam UMC wordt graag betrokken bij een eventuele publicatie over de kwetsbaarheid.

    Wat kunt u van ons verwachten

    • Wij reageren binnen één werkdag op uw melding met een bevestiging van ontvangst;

    • Wij houden u op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;

    • Als u vertrouwelijkheid wilt, geef dat dan aan in de melding. Wij zullen uw persoonlijke gegevens dan niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen;

    • Anoniem of onder pseudoniem melden is mogelijk. Het is voor u goed om te weten dat dit wel betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek of eventuele publicatie van de kwetsbaarheid;

    • Indien de IT Security Officer besluit om een bredere ICT-community of het algemene publiek te informeren over een nieuwe kwetsbaarheid die u ontdekt heeft, wordt u hiervan op de hoogte gebracht;

    • In onze publicatie over de gemelde kwetsbaarheid zullen wij, indien u dit wenst, uw naam (alias of handle) vermelden als de melder van de kwetsbaarheid;

    • Wij zullen de kwetsbaarheid (/kwetsbaarheden) zo snel mogelijk oplossen en alle betrokken partijen op de hoogte te houden.

    Dit is versie 1.1, gepubliceerd op 3 november 2020, van ons beleid aangaande Responsible Disclosure, waarvan de eerste versie is gepubliceerd op 18 januari 2019. Ons beleid valt onder een Creative Commons Naamsvermelding 4.0 licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra. Eventuele nieuwe versies worden ook op deze locatie gepubliceerd.