Melding zwakke plek informatiesystemen

De Provincie Zeeland vindt de veiligheid van haar eigen informatiesystemen erg belangrijk. We doen er alles aan om de veiligheid te waarborgen maar het kan voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen.

Wij willen graag met u samenwerken om onze systemen beter te kunnen beschermen. In het beleidsdocument 'responsible disclosure' beschrijven we hoe u een zwakke plek in onze informatiesystemen en (software-)producten bij ons kunt melden. We geven ook aan hoe we uw melding afhandelen.

Informatie over zwakke plekken

Om ons dagelijks werk te kunnen doen zijn wij afhankelijk van goed werkende informatiesystemen. Om de systemen goed te laten werken en beter te kunnen beveiligen moeten wij weten of en waar de zwakke plekken zitten. We komen die zelf op het spoor door er regelmatig onderzoek naar te doen. Daarnaast krijgen we ook meldingen van anderen over zwakke plekken.

Samenwerken op basis van afspraken

Mensen die zwakke plekken in informatiesystemen ontdekken melden deze niet altijd bij een organisatie zelf. Bijvoorbeeld uit angst voor juridische gevolgen. Hierdoor wordt een zwakke plek niet direct of via de media naar buiten gebracht. Dat willen we liever niet, omdat de zwakke plek dan nog steeds bestaat en daar misbruik van gemaakt kan worden. We vinden het belangrijk om met deze mensen in contact te komen en samen te werken op basis van afspraken. Ons beleid 'responsible disclosure' is daarbij het uitgangspunt. Hierdoor is er zekerheid over ieders positie en kunnen we samen een bijdrage leveren aan het verhogen van de veiligheid van informatiesystemen.

Responsible disclosure

Responsible disclosure is het op een verantwoorde en gezamenlijke manier, met de melder en de organisatie, openbaar maken van ICT-kwetsbaarheden. Iedereen kan een responsible disclosure-melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.

Voorop staat dat beide partijen zich houden aan de gemaakte afspraken over het melden van ICT-kwetsbaarheden. Een organisatie die werkt aan de hand van ‘responsible disclosure’, kan zich bijvoorbeeld binden aan het principe dat ze geen aangifte doet als de organisatie en de melder voldoen aan de afspraken.