Informatiebeveiliging en Coordinated Vulnerability Disclosure

Het Antoni van Leeuwenhoek hecht veel belang aan de veiligheid van haar (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Als u zo’n kwetsbaarheid ontdekt, kunt u dit op vertrouwelijke wijze aan ons melden. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure. Op deze manier kan het AVL beschermende maatregelen treffen.

Melding maken van een kwetsbaarheid
Als u een kwetsbaarheid heeft gevonden horen wij dit graag per direct van u. Dat stelt ons in staat om zo snel mogelijk eventuele maatregelen te treffen. Het AVL wil graag met u samenwerken om onze klanten en systemen nog beter te kunnen beschermen.

Ons Coordinated Vulnerability Disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk (onze systemen) uitgebreid actief te scannen op kwetsbaarheden. Wij monitoren ons netwerk voortdurend. Hierdoor is de kans groot dat een scan wordt opgemerkt door onze IT-afdeling en dat er een onderzoek wordt gestart wat onnodige kosten met zich meebrengt.

Wanneer u via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij vragen u zich te houden aan de volgende regels:

  • U meldt uw bevindingen bij Stichting Z-CERT bij voorkeur via dit CVD formulier of anders door een e-mail te sturen naar cvd@z-cert.nl. U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor het AVL Coordinated Vulnerability Disclosure meldingen afhandelt. De stichting werkt samen met u als melder en met het AVL om te zorgen dat uw melding wordt opgepakt.
  • In uw melding geeft u voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk.
  • U misbruikt de geconstateerde kwetsbaarheid niet. Door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
  • Als u vermoedt dat u via een kwetsbaarheid medische gegevens kan inzien, vragen wij u dit niet zelf te verifiëren maar dit door ons te laten doen.
  • U deelt uw bevindingen niet met anderen, voordat de kwetsbaarheid is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen.
  • U doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden.

Hoe wij omgaan met uw melding:

  • Het AVL en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
  • U krijgt een ontvangstbevestiging van Z-CERT en binnen 3 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
  • Elke melder van een niet-triviaal beveiligingsprobleem wordt indien hij/zij daar prijs op stelt vermeld in de hall of fame. In uitzonderlijke gevallen kunnen we bovendien, afhankelijk van de aard van de melding, besluiten de melder een beloning te verstrekken.

We streven ernaar om beveiligingsproblemen zo snel mogelijk op te lossen. Samen bespreken we na oplossing van het beveiligingsprobleem de meerwaarde van een eventuele publicatie hierover.

Deze tekst beschrijft het responsible disclosure beleid van het Antoni van Leeuwenhoek als aanvulling op de leidraad responsible disclosure (publicatiedatum 2-10-2018) die het NCSC heeft gepubliceerd.

Hall of fame
In de Hall of Fame van het AVL, neemt het AVL personen op die een kwetsbaarheid of probleem in de beveiliging van onze systemen hebben gemeld. Hierbij hebben ze het Coordinated Responsible Disclosure beleid gevolgd. Het AVL is de melders dankbaar, want dankzij hun melding kan onze beveiliging verder verbeterd worden.

Out of scope statement
Het AVL geeft geen beloning voor triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. Hieronder staan voorbeelden van bekende of triviale kwetsbaarheden en geaccepteerde risico’s, die buiten bovenstaande regeling vallen:

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina's
  • Fingerprinting/versievermelding op publieke services
  • Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
  • Clickjacking en problemen die alleen te exploiten zijn via clickjacking
  • Geen secure/HTTP-only flags op ongevoelige cookies
  • OPTIONS HTTP method ingeschakeld
  • Rate limiting kwetsbaarheden zonder duidelijke impact
  • Alles gerelateerd tot HTTP security headers, bijvoorbeeld:
    • Strict-Transport-Securit
    • X-Frame-Options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy
  • Issues met SSL-configuratie issues
  • SSL Forward secrecy uitgeschakeld
  • zwakke/onveilige cipher suites
  • Issues met SPF, DKIM of DMARC
  • Host header injection
  • Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit
  • Informatieblootstelling in metadata

Algemeen informatiebeveiligingsbeleid
Het Antoni van Leeuwenhoek heeft een actueel informatiebeveiligingsbeleid. Belanghebbenden kunnen dit document inzien op ons bezoekadres. Indien u van deze mogelijkheid gebruik wenst te maken, neem dan contact op met informatiebeveiliging@nki.nl om hiervoor een afspraak te maken.