B en W-nummer 15.0866;
Onderwerp
besluit d.d. 13-10-2015
Responsible disclosure: verantwoord melden ICT kwetsbaarheden
Besluiten:
1. het Beleid Verantwoord melden ICT kwetsbaarheden (responsible disclosure) vast te
stellen, en daarmee in te stemmen met
a) het bieden van gelegenheid aan burgers om ICT kwetsbaarheden (waaronder
ICT lekken) te melden.
b) regels waar de melder zich aan moet houden waaronder het zo snel mogelijk
na ontdekking van de kwetsbaarheid melden, voldoende informatie te geven
om het probleem te reproduceren en contactgegevens achter te laten zodat we
met de melder in contact kunnen treden om samen te werken aan een veilig
resultaat.
c) acties die de melder niet mag doen zoals misbruik maken van het gemelde
probleem.
d) het besluit geen aangifte te doen en geen civielrechtelijke zaak aan te spannen
als de melder aan alle voorwaarden die in het beleid zijn genoemd voldoet.
e) de meldingen vertrouwelijk te behandelen, tenzij de gemeente volgens de wet
of een rechterlijke uitspraak verplicht is de gegevens te delen.
f) ontvangen meldingen altijd te delen met de Informatiebeveiligingsdienst voor
gemeenten.
g) het streven om de melder goed op de hoogte te houden van de voortgang en
nooit langer dan 90 dagen te doen over het oplossen van het probleem.
h) al dan niet aan melders een vergoeding toe te kennen, afhankelijk van de ernst
van het beveiligingsprobleem en de kwaliteit van de melding, van maximaal
300 euro. De beoordeling hiervan te beleggen bij de coördinator
informatiebeveiliging
2. Het beleid Responsible disclosure: verantwoord melden ICT kwetsbaarheden met
begeleidende brief aan de gemeenteraad te sturen.
Perssamenvatting:
De gemeente Leiden vindt de veiligheid van haar systemen erg belangrijk. Ondanks goede
zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als een burger
een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo
snel mogelijk maatregelen kunnen treffen. Op die manier kunnen wij samenwerken met
burgers om onze systemen beter te kunnen beschermen.
Om dit mogelijk te maken stellen wij hiervoor beleid op, richten wij een proces in om
meldingen af te handelen, plaatsen we een digitaal meldingsformulier op de website en
informeren wij de burger hierover.
Beleid verantwoord melden van ICT kwetsbaarheden
Inleiding
Bij de gemeente Leiden vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks
onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als een
burger een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat
we zo snel mogelijk maatregelen kunnen treffen. Op die manier kunnen wij samenwerken
met burgers om onze systemen beter te kunnen beschermen.
In ICT vaktermen heet dit ‘responsible disclosure’: het op verantwoorde wijze, en in
gezamenlijkheid tussen melder en de gemeente, openbaar maken van ICT-kwetsbaarheden
op basis van een door de gemeente hiervoor vastgesteld proces.
Het doel van Responsible Disclosure is het bijdragen aan de veiligheid van ICT-systemen
en het beheersen van de kwetsbaarheid van ICT-systemen door deze kwetsbaarheden op
verantwoorde wijze te kunnen melden aan de gemeente en deze meldingen zorgvuldig door
de gemeente te laten afhandelen. Op deze manier kan schade zo veel als mogelijk worden
voorkomen of beperkt. Hierbij dient door de melder voldoende tijd voor herstel beschikbaar
gesteld te worden alvorens door de melder of de gemeente tot openbaarmaking wordt
overgegaan.
Centraal bij het werken met Responsible Disclosure staat het verhelpen van de
kwetsbaarheid en het verhogen van de veiligheid van informatiesystemen. Bij Responsible
Disclosure staat voorop dat partijen zich over en weer houden aan afspraken over het
melden van de kwetsbaarheid en de omgang hiermee.
Deze beleidsnotitie vormt de uitvoering van een toezegging n.a.v. een Raadsvraag van M.
Koek (D66) d.d. 20 juni 2013 inzake een digitale klokkenluidersregeling (B en W. nr.
13.0663 dd. 9-7-2013). Tevens voeren wij hiermee een deel van de ‘Resolutie
Informatieveiligheid, randvoorwaarde voor de professionele gemeente’, aangenomen tijdens
de Bijzondere Algemene Ledenvergadering van de VNG, d.d. 29 november 2013, uit. Het
beleid is gebaseerd op een van producten van de Baseline Informatiebeveiliging
Nederlandse Gemeenten (BIG) van de Informatiebeveiligingsdienst van de VNG
https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/14-0221-Responsible-disclosure1.0.pdf).
Wat vragen wij van de melder?
Wij vragen van de melder om:
 Het probleem zo snel mogelijk na ontdekking van de kwetsbaarheid te melden via
een web formulier op de website www.leiden.nl/gemeente.
 Voldoende informatie te geven om het probleem te reproduceren, zodat we het zo
snel mogelijk kunnen oplossen.
 Contactgegevens achter te laten zodat we met de melder in contact kunnen treden
om samen te werken aan een veilig resultaat.
Wat mag de melder niet?
De volgende handelingen zijn niet toegestaan:
 Het plaatsen van kwaadwillende software (malware), noch op de systemen van de
gemeente, noch op die van anderen.
 Het kraken van wachtwoorden of achterhalen van verloren gegane of vergeten
wachtwoorden die versleuteld zijn met sterke encryptie (bruteforcen), behalve voor
zover dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig
tekort schiet, dat wil zeggen als het buitengewoon eenvoudig is om met openbaar
verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken
waarmee het systeem ernstig kan worden gecompromitteerd.





Het verkrijgen van vertrouwelijke of geheime informatie via medewerkers van de
gemeente (social engineering), behalve voor zover dat strikt noodzakelijk is om aan
te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen
(ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil
zeggen als het op overigens volkomen legale wijze (dus niet via chantage of iets
dergelijks) in het algemeen te eenvoudig is om hen over te halen tot het verstrekken
van dergelijke gegevens aan onbevoegden. De melder dient daarbij alle zorg te
betrachten die redelijkerwijs verwacht kan worden om de betreffende medewerkers
zelf niet te schaden.
Het openbaar maken of aan derden verstrekken van informatie over het
beveiligingsprobleem voordat het is opgelost.
Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het
beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om
het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar
de melder door de kwetsbaarheid toegang toe heeft gehad. Het wijzigen of
verwijderen van gegevens in het systeem is nooit toegestaan.
Het gebruik maken van technieken waarmee de beschikbaarheid en/of
bruikbaarheid van het systeem of services door de legitieme gebruiker wordt
verminderd (DDoS-aanvallen).
Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat mag de melder verwachten van de gemeente Leiden?









Indien de melder aan alle bovenstaande voorwaarden voldoet, zullen wij geen
strafrechtelijke aangifte doen en ook geen civielrechtelijke zaak aanspannen tegen
de melder.
Als blijkt dat de melder een van bovenstaande voorwaarden toch heeft geschonden,
kunnen wij alsnog besluiten om gerechtelijke stappen tegen de melder te
ondernemen.
Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een
melder niet zonder diens toestemming met derden, tenzij wij daar volgens de wet of
een rechterlijke uitspraak toe verplicht is.
Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor
gemeenten (IBD). Zo borgen wij dat gemeenten hun ervaringen op dit vlak met
elkaar delen.
In onderling overleg kunnen wij, indien de melder dit wenst, de naam vermelden als
de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft de melder
anoniem.
Wij sturen binnen 1 werkdag een (automatische) ontvangstbevestiging.
Wij reageren binnen 3 werkdagen op een melding met een (eerste) beoordeling van
de melding en eventueel een verwachte datum voor een oplossing.
Wij lossen het gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij streven
we ernaar om de melder goed op de hoogte te houden van de voortgang en nooit
langer dan 90 dagen te doen over het oplossen van het probleem. Wij zijn daarbij
vaak wel mede afhankelijk van toeleveranciers.
In onderling overleg kan worden bepaald of en op welke wijze over het probleem
wordt gepubliceerd, nadat het is opgelost.
Retouradres: Postbus 9100, 2300 PC Leiden
Gemeente Leiden
Bezoekadres Stadhuis
Aan de gemeenteraad van Leiden
T.a.v. de commissie L&B en O&S
Postbus 9100
2300 PC LEIDEN
Stadhuisplein 1
Postadres Postbus 9100
2300 PC Leiden
Telefoon 14071
E-Mail
Website www.leiden.nl/gemeente
13 oktober 2015
Ons kenmerk Z/15/220062
Onderwerp Verantwoord melden ICT kwetsbaarheden
(digitale klokkenluidersregeling).
Datum
Wil Fabri
Doorkiesnummer 7363
Contactpersoon
Geachte leden van de gemeenteraad,
Zoals wij eerder hebben aangegeven in de beantwoording van de schriftelijke vragen van M.
Koek (D66) d.d. 20 juni 2013 inzake een digitale klokkenluidersregeling (B en W. nr. 13.0663
dd. 9-7-2013), is het college bereid de digitale klokkenluidersregeling van de rijksoverheid
over te nemen.
Op 13 oktober heeft het college het Beleid Responsible disclosure: verantwoord melden ICT
kwetsbaarheden vastgesteld. Met dit beleid geven wij burgers de mogelijkheid om op
verantwoorde wijze, en in gezamenlijkheid tussen melder en de gemeente, openbaar maken
van ICT-kwetsbaarheden op basis van een door de gemeente hiervoor vastgesteld proces.
Bij deze sturen wij u dit beleid ter informatie toe.
Hopelijk hebben wij u hiermee voldoende geïnformeerd.
Hoogachtend,
Burgemeester en Wethouders van Leiden,
de Secretaris,
de Burgemeester,
Webtekst verantwoord melden van ICT kwetsbaarheden
Melden ICT kwetsbaarheden (responsible disclosure)
De gemeente Leiden vindt de veiligheid van haar systemen belangrijk. Ondanks onze zorg voor
de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als u een
zwakke plek in onze systemen heeft gevonden, horen wij dit graag zodat we zo snel mogelijk
maatregelen kunnen treffen.
Zwakke plekken kunt u op twee manieren ontdekken:


u loopt ergens toevallig tegenaan bij normaal gebruik van een digitale omgeving;
u doet expliciet uw best om een zwakheid te vinden.
Wat vragen wij u?
Wij vragen van u om:



Het probleem zo snel mogelijk na ontdekking van de kwetsbaarheid te melden via
bijgaand webformulier <link naar formulier>.
Voldoende informatie te geven om het probleem te reproduceren, zodat we het zo snel
mogelijk kunnen oplossen.
Uw contactgegevens achter te laten zodat we met u in contact kunnen treden om samen
te werken aan een veilig resultaat. Het is ook mogelijk om anoniem te melden.
Wat mag u niet?
Het is niet toegestaan om op wat voor wijze dan ook misbruik te maken van de kwetsbaarheid.
Het is niet toegestaan om:





Kwaadwillende software te plaatsen.
Wachtwoorden te kraken of te achterhalen.
Te proberen vertrouwelijke of geheime informatie via medewerkers van de gemeente te
achterhalen.
Informatie over het beveiligingsprobleem openbaar te maken of aan derden te
verstrekken voordat het is opgelost.
Gebruik te maken van technieken waarmee de beschikbaarheid of bruikbaarheid van het
systeem wordt verminderd (DoS-aanvallen).
Wat mag u van ons verwachten?








Indien u aan alle voorwaarden voldoet, doet de gemeente geen strafrechtelijke aangifte
en start geen civielrechtelijke zaak tegen u.
Als blijkt dat u een van bovenstaande voorwaarden toch heeft geschonden, kan de
gemeente alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
De gemeente behandelt een melding vertrouwelijk en deelt persoonlijke gegevens van u
niet zonder uw expliciete toestemming met derden, tenzij de gemeente daar volgens de
wet of een rechterlijke uitspraak toe verplicht is.
De gemeente deelt de ontvangen melding altijd met de Informatiebeveiligingsdienst voor
gemeenten (IBD). Zo borgen de gemeenten dat hun ervaringen op dit vlak met worden
gedeeld.
In onderling overleg kan de gemeente, indien u dit wenst, uw naam vermelden als de
ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
De gemeente stuurt binnen een werkdag een (automatische) ontvangstbevestiging.
De gemeente reageert binnen drie werkdagen op een melding met een (eerste)
beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
De gemeente lost het gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij houden
wij u zo goed mogelijk op de hoogte van de voortgang. Wij streven ernaar om nooit


langer dan 90 dagen over het oplossen van het probleem te doen. Wij zijn daarbij vaak
wel mede afhankelijk van toeleveranciers.
In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt
gepubliceerd, nadat het is opgelost.
De gemeente kan u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst
van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren
van een eenvoudig ‘dankjewel’ tot een nader te bepalen bedrag. Het moet hierbij wel
gaan om een nog onbekend en serieus beveiligingsprobleem.