Terug naar overzicht

Gecoördineerde bekendmaking van kwetsbaarheden

Bekijk het beleid van het Instituut voor Tropische Geneeskunde over de gecoördineerde bekendmaking van kwetsbaarheden in zijn systemen.

Bij het ITG vinden we het belangrijk dat onze systemen veilig zijn. Ondanks onze zorg voor de beveiliging van onze systemen, kan het voorkomen dat er toch een zwakke plek is.

Als je een kwetsbaarheid in één van onze systemen hebt gevonden, dan horen wij dit graag zodat wij zo snel mogelijk maatregelen kunnen treffen.

Wij willen graag met je samenwerken om onze stakeholders en systemen beter te kunnen beschermen.

Wat wij van jou vragen

Als je een kwetsbaarheid hebt gevonden in één van de systemen van het ITG, vragen wij je:

  • De kwetsbaarheid na ontdekking zo snel mogelijk te melden via informatica@itg.be. Versleutel je mail om te voorkomen dat de informatie in verkeerde handen valt. Bekijk hoe je dat doet in Outlook of Gmail.

  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij deze zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

  • Jouw contactgegevens achter te laten, zodat we contact met je kunnen opnemen om samen te werken aan een veilig resultaat. Laat minstens jouw naam, e-mailadres en/of telefoonnummer achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat wij je kunnen contacteren als wij bijkomende vragen hebben.

  • Te bevestigen dat je conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen.

Regels die je dient na te leven

  • De kwetsbaarheid niet openbaar te maken totdat wij deze hebben kunnen corrigeren. Zie hieronder voor eventuele publicatie achteraf.

  • De kwetsbaarheid niet te misbruiken door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken, of door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen.

  • De volgende handelingen niet toe te passen:

    • Het plaatsen van malware (virus, worm, Trojaans paard enz.).

    • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.

    • Het aanbrengen van veranderingen in het systeem.

    • Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.

    • Het gebruik maken van geautomatiseerde scantools.

    • Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.

    • Het gebruik maken van denial-of-service of social engineering (phishing, vishing, spam, ...).

    • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.

    • Alle gegevens die zijn verkregen via de kwetsbaarheid meteen te wissen na de melding.

    • Geen handelingen uit te voeren die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel naar beschikbaarheid als naar performantie toe, maar ook naar confidentialiteit en integriteit van de data toe.

Handelingen onder deze Responsible Disclosure Policy moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren en het delen van deze informatie met het ITG.

Wat wij beloven

  • We reageren binnen een redelijke termijn op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.

  • Als je je aan bovenstaande voorwaarden hebt gehouden en geen andere inbreuken hebt begaan, zullen wij geen juridische stappen tegen je ondernemen.

  • We behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder je toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.

  • We houden je op de hoogte van de voortgang van het oplossen van het probleem.

  • In een mogelijke ITG-berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker.

  • Wij streven ernaar om alle problemen binnen een korte termijn op te lossen.

  • Wij mogen ervoor kiezen om meldingen van lagere kwaliteit te negeren.

Gelieve bij twijfel over de toepasbaarheid van dit beleid eerst contact op te nemen via dit e-mailadres om expliciete toestemming te vragen.

We behouden ons het recht voor om de inhoud van dit beleid op elk gewenst moment te wijzigen of om het beleid te beëindigen.

Deze tekst is een afgeleid werk van 'Responsible Disclosure' van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 4.0 Internationaal licentie.

Contact

Contacteer ons indien je vragen hebt.

informatica@itg.be