www.belgium.be Logo of the federal government

Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden van het CCB

DE BELGISCHE STAAT vertegenwoordigd door het Centrum voor Cybersecurity België (CCB), met kantoren in de Wetstraat 16 te 1000 Brussel.

1. Toepassingsgebied van het beleid

Vanuit de bekommernis om het prestatievermogen en de veiligheid van onze websites te verbeteren, heeft het Centrum voor Cybersecurity België (CCB) ervoor gekozen een beleid in te voeren voor de gecoördineerde bekendmaking van kwetsbaarheden. Zo kunnen externe deelnemers, met goede bedoelingen, mogelijke kwetsbaarheden opsporen en/of het CCB elke nuttige informatie hierover bezorgen.

De toegang tot de informaticasystemen van de websites van het CCB in het kader van dit beleid wordt uitsluitend verleend aan personen die de bedoeling hebben de veiligheid ervan te verbeteren, ons te informeren over bestaande kwetsbaarheden, en met strikte inachtneming van de andere voorwaarden bepaald in dit document.

De deelnemer is eveneens gemachtigd om informaticagegevens in het betrokken informaticasysteem te proberen in te voeren, met inachtneming van de doeleinden en voorwaarden van dit beleid.

Ons beleid betreft beveiligingskwetsbaarheden die kunnen worden misbruikt door derden of die de goede werking van onze producten, diensten, netwerk- of informatiesystemen kunnen verstoren.

Lijst van de producten, diensten of websites binnen het toepassingsgebied van dit beleid:

Systemen die afhankelijk zijn van derden vallen buiten het toepassingsgebied van dit beleid, behalve indien deze derden vooraf expliciet verklaren akkoord te gaan met deze regels.

Met vragen over het toepassingsgebied van dit beleid kunt u terecht bij de juridische dienst van het CCB (vulnerabilitydisclosure[at]ccb.belgium.be).

2. Wederzijdse verplichtingen van de partijen

A. Evenredigheid

De deelnemer verbindt zich ertoe om bij al zijn activiteiten het evenredigheidsbeginsel nauwgezet na te leven, dat wil zeggen de beschikbaarheid van de door het systeem verleende diensten niet te verstoren en geen gebruik te maken van de kwetsbaarheid buiten wat strikt noodzakelijk is voor het aantonen van het veiligheidsprobleem. Zijn houding moet evenredig blijven: indien het veiligheidsprobleem op kleine schaal is aangetoond, moet niet verder worden gegaan.

B. Verboden acties

De volgende acties zijn niet toegestaan voor de deelnemer:

  • het kopiëren of wijzigen van gegevens van het informaticasysteem of het verwijderen van gegevens uit dat systeem;
  • het wijzigen van de parameters van het informaticasysteem;
  • de installatie van malware: virus, worm, Trojaans paard enz.;
  • "denial of service"-aanvallen (Distributed Denial Of Service - DDOS);
  • "social engineering"-aanvallen;
  • phishing-aanvallen;
  • aanvallen via ongewenste mails (spamming);
  • diefstal van paswoorden of “brute force”-aanvallen;
  • de installatie van een toestel dat het mogelijk maakt om niet voor het publiek toegankelijke communicatie of elektronische communicatie te onderscheppen, op te slaan of er kennis van te nemen;
  • het met opzet onderscheppen, opslaan of kennisnemen van niet voor het publiek toegankelijke communicatie of van elektronische communicatie;
  • het met opzet gebruiken, bijhouden, meedelen of verspreiden van de inhoud van niet voor het publiek toegankelijke communicatie of van gegevens van een informaticasysteem waarvan de deelnemer redelijkerwijze had moeten weten dat ze onwettig werden verkregen.

CVertrouwelijkheid

Zonder onze voorafgaande en uitdrukkelijke goedkeuring mag de deelnemer in geen geval informatie die hij in het kader van ons beleid heeft verzameld, delen met derden of verspreiden onder derden.

Het is evenmin toegestaan informaticagegevens, communicatiegegevens of persoonsgegevens mee te delen aan derden of te verspreiden onder derden.

Ons beleid heeft niet tot doel de opzettelijke kennisneming van de inhoud van informaticagegevens, communicatiegegevens of persoonsgegevens mogelijk te maken en een dergelijke kennisneming mag slechts toevallig plaatsvinden in het kader van het opsporen van kwetsbaarheden.

Indien de deelnemer hulp van een derde wenst om zijn onderzoek uit te voeren, dient hij zich ervan te vergewissen dat die derde vooraf kennisneemt van dit beleid en erin toestemt om, bij het verlenen van hulp, de voorwaarden van het beleid, met inbegrip van de vertrouwelijkheid, na te leven.

D. Uitvoering te goeder trouw

Het CCB verbindt zich ertoe dit beleid te goeder trouw uit te voeren en de deelnemer die de voorwaarden ervan strikt naleeft en die niet met opzet schade zou hebben veroorzaakt aan de betrokken informaticasystemen, noch burgerrechtelijk noch strafrechtelijk te vervolgen.

In hoofde van de deelnemer mag er geen sprake zijn van bedrieglijk opzet, het oogmerk om te schaden, of de wil om gebruik te maken van of schade te veroorzaken aan het bezochte systeem of aan de gegevens ervan.

In geval van twijfel over bepaalde voorwaarden van ons beleid moet de deelnemer ons aanspreekpunt vooraf raadplegen en over diens schriftelijk antwoord beschikken alvorens te handelen.

E. Verwerking van persoonsgegevens

Een beleid voor gecoördineerde bekendmaking heeft niet tot doel hoofdzakelijk en opzettelijk persoonsgegevens te verwerken. Tenzij het nodig is om het bestaan van een kwetsbaarheid te bewijzen, mag de deelnemer geen persoonsgegevens raadplegen, ophalen of opslaan.

Het is echter wel mogelijk dat de deelnemer, zelfs toevallig, toegang krijgt tot persoonsgegevens die worden opgeslagen, verwerkt of overgedragen in het betrokken informaticasysteem. Het kan tevens nodig blijken dat de deelnemer in het kader van het opsporen van kwetsbaarheden tijdelijk persoonsgegevens moet raadplegen, ophalen of gebruiken. In dat geval moet de deelnemer de functionaris voor gegevensbescherming van het CCB verwittigen: privacy[at]ccb.belgium.be.

Bij het verwerken van dergelijke gegevens verbindt de deelnemer zich ertoe de wettelijke verplichtingen op het gebied van de bescherming van persoonsgegevens[1] en de voorwaarden van dit beleid na te leven.

Het verwerken van persoonsgegevens voor andere doeleinden dan het opsporen van kwetsbaarheden van systemen, uitrusting of producten van het CCB is uitgesloten.

De deelnemer mag de eventuele verwerkte persoonsgegevens niet langer dan noodzakelijk bijhouden. Gedurende deze periode moet de deelnemer erop toezien dat deze gegevens bijgehouden worden met waarborging van een veiligheidsniveau afgestemd op de risico’s (bij voorkeur gecodeerd). Na afloop van de deelname aan het beleid moeten deze gegevens onmiddellijk verwijderd worden.

Tot slot moet de deelnemer ons informeren over elk eventueel verlies van persoonsgegevens, en dit zo snel mogelijk na hiervan kennis te hebben genomen.

[1] Europese Verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG Algemene Verordening Gegevensbescherming).

3. Hoe beveiligingskwetsbaarheden melden?

A. Aanspreekpunten

U moet de ontdekte informatie uitsluitend naar het volgende e-mailadres sturen: vulnerabilityreport[at]cert.be

en/of het volgende formulier invullen:

Het ingevulde formulier moet ons worden bezorgd in Word of pdf-formaat (maar niet in gescande vorm) en met een paswoord of zip.-beveiligd zijn (om een eventuele blokkering door onze antivirusfilters te vermijden).

Het bestand mag in totaal niet groter zijn dan 7 MB.

Wij verzoeken u voor zover mogelijk de volgende beveiligde communicatiemiddelen te gebruiken:

PGP Key ID:  0x28CFD3D6

Type: RSA-4096 Key

Fingerprint: 0C4B 3994 17CB DF05 A988  20F3 EBD4 C7C3 28CF D3D6

Beveilig het formulier met een paswoord dat ons mag worden meegedeeld per e-mail.

 

B. Te bezorgen informatie

Stuur ons zo snel mogelijk na uw ontdekking de hieraan verbonden informatie.

Bezorg ons voldoende informatie zodat wij het probleem kunnen reproduceren en het zo snel mogelijk kunnen oplossen.

Wij verzoeken u om ons deze informatie in het Nederlands, Frans, Duits of Engels te bezorgen.

4. Procedure

A. Melding

De deelnemer verbindt zich ertoe om ontdekte informatie over eventuele kwetsbaarheden zo snel mogelijk te bezorgen aan het aanspreekpunt of aan de coördinator vermeld in punt 3 A) van dit beleid.  De deelnemer moet gebruik maken van de vermelde beveiligde communicatiemiddelen.

Het CCB verbindt zich ertoe om, wanneer het een bericht ontvangt, de deelnemer binnen een redelijke termijn een ontvangstbewijs te sturen, met de interne referentie ervan, een herinnering aan zijn vertrouwelijkheidsplicht en de volgende stappen van de procedure.

B. Communicatie

De partijen verbinden zich ertoe alles in het werk te stellen om een permanente en doeltreffende communicatie te garanderen. De door de deelnemer verstrekte inlichtingen kunnen immers heel nuttig zijn om de kwetsbaarheid te identificeren en er een oplossing voor te vinden.

C. Onderzoek

Tijdens de onderzoeksfase zal het CCB de omgeving en de gesignaleerde handelwijze reproduceren om de meegedeelde informatie te controleren.

Het CCB verbindt zich ertoe om de deelnemer regelmatig op de hoogte te houden van de resultaten van het onderzoek en van het gevolg dat aan zijn melding wordt gegeven.

Tijdens deze procedure dienen de partijen ervoor de link te leggen met gelijkaardige of aanverwante meldingen,  het risico en de ernst van de kwetsbaarheid te beoordelen en  eventuele andere getroffen producten of systemen te identificeren.

D. Ontwikkelen van een oplossing

Het bekendmakingsbeleid heeft tot doel de ontwikkeling van een oplossing mogelijk te maken om de kwetsbaarheid van het informaticasysteem weg te werken vooraleer schade wordt aangericht.

Voor zover mogelijk en rekening houdend met de kosten en de bestaande kennis zal het CCB proberen zo snel mogelijk een oplossing uit te werken met zijn onderaannemers, in functie van de ernst van de risico's die de gebruikers van de betrokken systemen lopen.

In deze fase verbinden het CCB en zijn onderaannemers zich ertoe om enerzijds positieve testen uit te voeren om te controleren of de oplossing correct werkt en anderzijds negatieve testen om er zeker van te zijn dat de oplossing de goede werking van de andere bestaande functionaliteiten niet verstoort.

E. Eventuele publicatie

Het CCB zal, in overleg met de deelnemer, beslissen op welke wijze het bestaan van de kwetsbaarheid eventueel wordt gepubliceerd. Tegelijkertijd met deze bekendmaking wordt een veiligheidsmededeling gepubliceerd op de website van het CCB (of via e-mail), in een systeemupdatebericht voor de gebruikers.

Het CCB verbindt zich er eveneens toe de opmerkingen van gebruikers over de toepassing van de oplossing te verzamelen en de nodige corrigerende maatregelen te nemen om eventuele problemen veroorzaakt door de oplossing te regelen, onder meer inzake compatibiliteit met andere producten of diensten.

F. Toepasselijk recht

Het Belgisch recht is van toepassing op geschillen in verband met de toepassing van dit beleid.

G. Duur

De regels van het beleid zijn toepasselijk vanaf 7/11/2019 tot ze eventueel worden gewijzigd of opgeheven door het CCB. Deze wijzigingen of opheffingen worden bekendgemaakt op de website van het CCB en zijn automatisch van toepassing 30 dagen na de bekendmaking ervan.