Coordinated Vulnerability Disclosure

Bij het Graafschap College vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Ons beleid voor Coordinated Vulnerability Disclosure is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om zwakke plekken te ontdekken of aanvallen uit te voeren op fysieke beveiliging en mensen (social engineering).

Als u een zwakke plek in een van onze systemen heeft gevonden, horen wij dit graag zodat wij zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze studenten, medewerkers en systemen beter te kunnen beschermen. Constateert u zo’n zwakke plek, dan stellen wij het zeer op prijs als u hier melding van maakt via een e-mail aan cvd@graafschapcollege.nl. Versleutel uw bevindingen met onze PGP-key om te voorkomen dat de informatie in verkeerde handen valt.

Wat wij van u vragen

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan Graafschap College het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende;
  • Laat contactgegevens (e-mailadres en/of telefoonnummer) achter zodat een medewerker van het Graafschap College contact met u kan opnemen;
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid;
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost;
  • Ga niet zelf over het probleem publiceren, tenzij dit met ons is afgestemd;
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen;
  • Maak geen misbruik van een zwakke plek in een ICT-systeem. Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van door bijvoorbeeld malware te plaatsen, veranderingen aan te brengen in het systeem, gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot het systeem etc.

Wat wij u beloven

  • U krijgt binnen 2 werkdag(en) een ontvangstbevestiging van de melding.
  • Het Graafschap College reageert binnen 5 werkdagen op uw melding. De reactie bevat een beoordeling van de melding en een verwachte datum voor de oplossing.
  • Als u zich aan bovenstaande voorwaarden heeft gehouden, zullen wij geen juridische stappen tegen u ondernemen.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonsgegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De hoogte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.
  • In berichtgeving over het opgeloste probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker en melder.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem, nadat het is opgelost.