Terug naar bovenliggende pagina

Deel via e-mail

Melding maken van een kwetsbaarheid

BovenIJ ziekenhuis hecht veel belang aan de veiligheid van haar (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Als u zo’n kwetsbaarheid ontdekt, kunt u dit veilig aan ons melden. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure. Op deze manier kan BovenIJ ziekenhuis beschermende maatregelen treffen.

Als u een kwetsbaarheid heeft gevonden horen wij dit graag, zodat we zo snel als mogelijk maatregelen kunnen treffen. BovenIJ ziekenhuis wil graag met u samenwerken om onze klanten en systemen nog beter te kunnen beschermen.

Ons Coordinated Vulnerability Disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk (onze systemen) uitgebreid actief te scannen op kwetsbaarheden. Wij monitoren ons netwerk, hierdoor is de kans groot dat een scan wordt opgemerkt door onze IT-afdeling en is er kans dat zij hier onderzoek naar gaan doen en er mogelijk onnodige kosten worden gemaakt.

Wanneer u via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij vragen u zich te houden aan de volgende regels:

  • U meldt uw bevindingen bij Stichting Z-CERT bij voorkeur via dit CVD formulier of anders door een e-mail te sturen naar . U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor BovenIJ ziekenhuis Coordinated Vulnerability Disclosure meldingen afhandelt. Zij werken samen met u als melder en met BovenIJ ziekenhuis om te zorgen dat uw melding wordt opgepakt.
  • In uw melding geeft u voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk.
  • U misbruikt de geconstateerde kwetsbaarheid niet. Door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
  • Als u vermoedt dat u via een kwetsbaarheid medische gegevens kan inzien vragen wij u dit niet zelf te verifiëren maar dit door ons te laten doen.
  • U deelt uw bevindingen niet met anderen, voordat het is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen.
  • U doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden.

Hoe wij omgaan met uw melding:

  • BovenIJ ziekenhuis en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
  • U krijgt een ontvangstbevestiging van Z-CERT en binnen 5 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
  • Als dank voor uw hulp biedt BovenIJ ziekenhuis een beloning aan. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren. 

We streven ernaar om alle problemen zo snel mogelijk op te lossen.  Samen overleggen we daarna over de meerwaarde van een eventuele publicatie van het opgeloste probleem.

Niet in scope:

Het BovenIJ ziekenhuis zal geen meldingen in behandeling nemen van kwetsbaarheden of beveiligingsproblemen die niet misbruikt kunnen worden of die triviaal zijn. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en problemen die buiten de scope vallen. Dit betekent niet dat ze niet belangrijk zijn of niet moeten worden opgelost. Echter, het proces is bedoeld voor problemen die actief kunnen worden misbruikt, zoals een kwetsbaarheid die kan worden misbruikt door een openbaar beschikbare exploit of een verkeerde configuratie die kan worden gebruikt om een bestaande beveiligingscontrole te omzeilen. Onderstaande lijst met uitsluitingen is afgeleid van een lijst die wordt gebruikt door de CERT van Surf (https://www.surf.nl/responsible-disclosure-surf):

  • HTTP 404-codes / pagina's of andere HTTP niet-200 codes/pagina's en spoofing of tekstinjecties van inhoud op deze pagina's
  • Vingerafdrukken / versies vrijgeven van openbare diensten
  • Openbare bestanden of mappen die geen vertrouwelijke informatie bevatten
  • Clickjacking-problemen die alleen kunnen worden misbruikt door clickjacking
  • Geen veilige / alleen HTTP-vlaggen voor onconfidentional cookies
  • OPTIES HTTP-methode ingeschakeld
  • Rate-limiting zonder duidelijke impact
  • Alle problemen met betrekking tot HTTP-beveiligingsheaders, bijvoorbeeld:
    • Strict-Transport-Security
    • X-Frame-Options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy
  • SSL-configuratieproblemen
    • SSL Forward secrecy disabled
  • Geen TXT-record voor DMARC of een ontbrekend CAA-record
  • Host-header-injectie
  • Rapporten van verouderde versies van software zonder een proof of concept van een werkende exploit

Deze website plaatst cookies. Dit doen we om onze site gebruiksvriendelijker te maken, onder andere door analyse van het bezoekersgedrag. Maar u blijft anoniem. Als u verder surft, accepteert u onze cookies.

Terug naar bovenScroll naar boven