De systemen van het RIVM zijn zo zorgvuldig mogelijk samengesteld en volgt de belangrijkste veiligheidseisen. Toch kan er een kwetsbaarheid aanwezig zijn die ons nog niet bekend is. Mocht u op de systemen van het RIVM een beveiligingsprobleem tegenkomen of onbeveiligde informatie aantreffen, dan stellen wij het zeer op prijs als u dit aan ons meldt via RD@rivm.nl. Deze mailbox wordt op werkdagen tussen 9.00 en 17.00 uur afgehandeld.
Uw melding kan voorkomen dat belangrijke informatie in verkeerde handen valt of wordt gebruikt voor valse of strafbare handelingen. Wij verwachten dat u de melding vertrouwelijk houdt en niet zonder onze toestemming in de media of anderszins bekend maakt. Over het behandelen van uw melding houden wij u op de hoogte.
Wij verzoeken u het probleem niet te misbruiken door op een onevenredige wijze* te handelen.
*Onder onevenredige wijze wordt verstaan:
- Door gebruik te maken van social engineering om op die wijze toegang te verschaffen tot het systeem.
- Door een eigen backdoor in een informatiesysteem te plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
- Door een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen.
- Door gegevens van het systeem te kopiëren, te wijzigen of te verwijderen.
- Door veranderingen in het systeem aan te brengen.
- Door herhaaldelijk toegang tot het systeem te verkrijgen of de toegang te delen met anderen
- Door gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen, daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.
(Zie ook: Leidraad coordinated vulnerability disclosure, NCSC (Nationaal Cyber Security Centrum) Nationaal Cyber Security Centrum)