RD bij Z-CERT

Bij Z-CERT vinden wij de veiligheid van onze eigen systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze deelnemers en onze systemen beter te kunnen beschermen.

Wij vragen u uw bevindingen te mailen naar [email protected] Versleutel uw bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.

Lees verder >

Responsible disclosure

Kwetsbaarheden in systemen van zorginstellingen, medische netwerken en medische apparatuur, die door derden zijn ontdekt, kunnen worden gemeld bij [email protected] (liefst versleuteld met onze PGP-sleutel).

Z-CERT kan voor deelnemers zogenaamde Responsible Disclosure meldingen coördineren, en adviseren bij de afhandeling. Hierbij neemt Z-CERT de rol van 'man-in-the-middle' op zich. Kort samengevat houdt dat in dat Z-CERT bemiddelt tussen de melder en de deelnemer over het afhandelen van de melding.

Wat is Responsible Disclosure?

Responsible Disclosure is het afhandelen van meldingen van derden over - al dan niet bij toeval - ontdekte gegevens-/beveiligingslekken, waarbij de melding op een verantwoorde wijze en conform het beleid van de deelnemer of Z-CERT wordt afgehandeld.

Bijvoorbeeld: een deelnemer ontvangt van een patiënt een melding dat hij online, buiten zijn eigen patiëntgegevens ook de gegevens van een andere patiënt kan inzien.

Meldingen kunnen legitiem zijn, maar dat hoeft lang niet altijd. Ook de belangen van de melder kunnen variëren: de één is ter goede trouw, de ander is uit op aandacht, goederen, financieel gewin of een baan. Ook voor ICT beveiligingsbedrijven kan dit een vorm van acquisitie zijn. In een uitzonderlijk geval komt afpersing voor.

Het doelbewust zoeken naar lekken in de beveiliging, of zelfs enkel het aanpassen van een URL, kan conform de Nederlandse wet- en regelgeving strafbaar zijn.

Responsible Disclosure meldingen moeten in beginsel gemeld te worden bij de deelnemer. De deelnemer kan vervolgens Z-CERT inschakelen. Allereerst voert Z-CERT een triage uit: er wordt een (technische) analyse gedaan om vast te stellen of de aangegeven kwetsbaarheid inderdaad juist aangegeven is door de melder, op welke wijze deze misbruikt kan worden en wat de impact kan zijn. Daarnaast wordt nagegaan wie de melder is, en of er vaker meldingen van deze persoon komen. Ten slotte kan Z-CERT de deelnemer van juridisch advies voorzien. Optioneel kan Z-CERT de melder en deelnemer uitnodigen om met de melder de melding af te handelen.