Coordinated Vulnerability Disclosure (CVD)

Bij het LUMC werken we hard aan het in stand houden en verbeteren van de veiligheid van onze systemen; desondanks kunnen er in onze systemen kwetsbaarheden voorkomen. Met deze Coordinated Vulnerability Disclosure (CVD) vragen wij een ieder die een kwetsbaarheid ontdekt, ons hierover te informeren voordat hij/zij dit aan de buitenwereld kenbaar maakt. Zo zijn wij in staat tijdig maatregelen te treffen.

Let op: dit CVD-beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om kwetsbaarheden te ontdekken. Wij monitoren ons netwerk zelf continue. Hierdoor is de kans groot dat een scan wordt opgepikt, dat er door onze CERT onderzoek wordt gedaan en er mogelijk onnodige kosten worden gemaakt.

Hoe kunnen we samen zorgen voor veilige systemen?

Wij vragen u:

  • uw bevindingen zo snel mogelijk te mailen naar CERT@lumc.nl. Versleutel uw bevindingen met onze PGP-sleutel (pdf) om te voorkomen dat de informatie in verkeerder handen valt. De fingerprint van de PGP-sleutel is: A760 25FB 1DD7 4AC8 D935 8F65 6860 AB70 CCB8 7BCE;
  • kwetsbaarheden niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig om de kwetsbaarheid aan te tonen of gegevens van derden in te kijken, verwijderen of aan te passen en extra terughoudendheid te betrachten bij persoonsgegevens;
  • kwetsbaarheden niet met anderen te delen totdat ze zijn opgelost en alle vertrouwelijke gegevens die via kwetsbaarheden verkregen zo snel mogelijk te wissen;
  • geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, distributed denial-of-service of spam;
  • voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het snel kunnen oplossen.

Meestal is een IP-adres of URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • Als u zich aan bovenstaande verzoeken heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of u strafrechtelijk vervolgd wordt.
  • Wij reageren binnen vijf werkdagen op uw melding met onze beoordeling en, voor zover nodig, de verwachte oplostermijn.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker van de kwetsbaarheid.
  • Anoniem of onder een pseudoniem melden is mogelijk. Het is voor u goed om te weten dat dit wel betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek of eventuele publicatie van de kwetsbaarheid.
  • Als dank voor uw hulp bieden wij een beloning aan voor elke eerste melding van een ons nog onbekende kwetsbaarheid. Deze beloning bestaat uit een eervolle vermelding.
  • Wij streven er naar om alle kwetsbaarheden zo snel mogelijk op te lossen.

Wat wordt er niet gezien als kwetsbaarheid:

  • Opzettelijke directory inhoud listing(s) voor research of publicatie doeleinden
  • SPF, DKIM, DMARC issues
  • Ontbrekende secure of http only flags
  • Melding van verouderde software of upgrade mogelijkheid zonder daarbij behorende exploit en proof of concept
  • Ontbrekende DNSSEC informatie
  • xmlrpc.php accessibility
  • Clickjacking (of framing)

Voorgaande is geen uitputtende lijst; onze systemen worden regelmatig getoetst op kwetsbaarheden. Beveiligingsproblemen die daaruit voortkomen worden uiteraard ook gezien als bekende problemen.

Wij bedanken

Het LUMC wil de volgende personen bedanken voor het melden van hun bevindingen. Dankzij hun inzet hebben we er samen voor kunnen zorgen dat de beveiliging op het juiste niveau is.