Gemeente Amsterdam opent centraal meldpunt kwetsbaarheden

De gemeente Amsterdam heeft een nieuw online meldpunt geopend waar ethische hackers zwakke plekken in haar informatiesystemen kunnen melden. Op die manier wil de gemeente 'veiligheid en de betrouwbaarheid van de systemen verbeteren'.

Het meldpunt is sinds woensdag online. Een melding maken over een kwetsbaarheid was al mogelijk bij de gemeente, maar de overheidsinstelling wilde naar eigen zeggen 'de drempel voor ethische hackers verlagen en meldingen stimuleren'. Het roept ethische hackers op om via het meldpunt contact op te nemen als ze een kwetsbaarheid hebben gevonden in de systemen van de overheidsinstelling. Dit kan via een formulier. De melding kan anoniem worden gedaan, maar de gemeente benadrukt dat het graag contact opneemt. De security-experts van de gemeente Amsterdam zullen de bevindingen vervolgens onderzoeken. Binnen vijf werkdagen ontvangt de melder een e-mail met een eerste reactie.

Kwetsbaarheden die gemeld kunnen worden zijn onder meer cross-site-scripting-kwetsbaarheden, SQL-injectie-kwetsbaarheden en ongeautoriseerde toegang tot gegevens. De gemeente Amsterdam neemt geen meldingen in behandeling van 'triviale kwetsbaarheden of security-issues die niet misbruikt kunnen worden'. Als voorbeeld noemt het kwetsbaarheden die alleen gebruikers van verouderde of niet gepatchte browsers en platforms treffen.

De gemeente Amsterdam zegt dat in bepaalde gevallen een beloning mogelijk is. Deze kan bestaan uit een vermelding of een attentie en wordt alleen toegekend aan de eerste melder van de kwetsbaarheid. Om misbruik te voorkomen, verzoekt de gemeente de melder om de kwetsbaarheid niet publiekelijk te maken, totdat deze is opgelost.

Update, 19.52 uur: Aanvullende informatie toegevoegd over de oprichting van het nieuwe meldpunt.

Door Loïs Franx

Redacteur

24-11-2022 • 18:49

19 Linkedin

Submitter: Kalief

Reacties (19)

Wijzig sortering
Vreemd dat dit nieuws is om eerlijk te zijn. Coordinated Vulnerability Disclosure (CVD, voorheen Responsible Disclosure) is een control uit de Baseline Informatiebeveiliging Overheid (BIO, control 16.1.3.1). Elke overheidsinstantie moet dit dus bieden. Al schrijft de norm niet voor hoe dat moet. Dat kan dus ook via security.txt (cc @Triblade_8472).

[Reactie gewijzigd door sOid op 24 november 2022 19:24]

Reageer
Het nieuws lijkt dat de gemeente er kennelijk meer aan doet dan voorheen. Kennelijk huren ze nu een bedrijf in om de meldingen te verwerken. Wat ik alleen niet lees is waarop ze baseren dat dit de drempel om te melden zou verlagen of meldingen zou stimuleren. Want dan zegt de gemeente kennelijk te weten dat deze veranderingen daarvoor zou zorgen. Het klinkt een beetje alsof de gemeente meldingen niet aantrekkelijk genoeg zou afhandelen of liever naar de mening van een ingehuurd bedrijf luistert als die de melding net als de melder acceptabel vinden.
Reageer
Ik heb hier een tijdje geleden naar gevraagd bij de Gemeente Amsterdam, omdat er wel een plek om te melden was, maar geen duidelijk beleid (Coordinated Vulnerability Disclosure of voorheen vaak Responsible Disclosure genoemd). Zonder zo'n beleid weet je dus niet zeker of er bijv. aangifte wordt gedaan als je een kwetsbaarheid meldt.

Dit stond o.a. in de reactie van de Privacy Officer (27 okt. 2021):
De gemeente Amsterdam legt op dit moment de laatste hand aan het vaststellen van beleid rondom het melden van een datalek. Een datalek of beveiligingsincident kan op dit moment gemeld worden via het algemene contactformulier. Indien u een beveiligingsincident of datalek in de publiciteit wilt brengen, dan verzoeken wij u om de gemeente Amsterdam daaraan voorafgaand enige tijd te geven om het probleem (zoveel mogelijk) op te lossen.

Een beveiligingsincident of datalek van de gemeente Amsterdam kan uiteraard ook altijd gemeld worden onder de Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure) van de Informatiebeveiligingsdienst van de VNG.
Het heeft dus meer dan een jaar gekost, maar goed dat er nu uitgebreide uitleg is hoe je problemen kunt melden.
Reageer
Dit was toch al beschikbaar voor gemeente Amsterdam?
Of is dit anders dan onderstaande formulier wat al sinds 2019 bestond? https://web.archive.org/w.../privacy/beveiligingslek/
Reageer
Daar is de Archive niet voor nodig, het bestaat nog steeds:
https://www.amsterdam.nl/privacy/beveiligingslek/
Maar inderdaad, wat het verschil is?

Amsterdam heeft blijkbaar meerdere varianten van die meldpunten:
https://www.google.com/search?q=amsterdam.nl+beveiligingslek

[Reactie gewijzigd door Kalief op 24 november 2022 19:13]

Reageer
Het ene is een algemeen formulier waar beveilignslek geen optie is. Ik vermoed dat deze naar de algemene 14020 servicedesk gaat, die voor alle contacten met de gemeente is.

Dat andere is heel specifiek voor beveiligings incidenten, misschien wordt die direct naar het SOC gestuurd.

Jammer dat het via een externe partij gaat, ze hadden ook gewoon een eigen formulier kunnen maken…..
Reageer
Ik vermoed dat beide partijen niet van elkaars bestaan weten, ik heb contact opgenomen om dat maar eens te laten bijwerken.
Reageer
Is dit niet waar de security.txt voor bedoeld is?

Waarom dan weer een nieuwe soort meldpunt?
Reageer
In security.txt staat waarschijnlijk een URL naar het meldpunt. ;)

De aankondiging van het meldpunt is dan vooral een PR dingetje. Elke organisatie stuurt kijk-eens-hoe-goed-we-nu-weer-bezig-zijn berichten de wereld in.
Reageer
Amsterdam.nl heeft geen security.txt
Reageer
Zoveel gemeenten hebben toch zo’n meldpunt, al dan niet onder de noemer responsible disclosure?
Reageer
Precies, vind het ook een beetje raar dat dit nieuwswaardig is.
Reageer
Afgezien van het feit dat dit totaal niet nieuwswaardig is, waarom blijven ook gemeenten alles stug zelf doen? Ze doen stuk voor stuk dag in dag uit precies hetzelfde. Richt een centraal meldpunt op, kieper alles wat op de gemeente site binnenkomt in die bak en los het probleem op. Maar niet voor één gemeente, gewoon voor allemaal.
Reageer
Ze voeren weliswaar dezelfde wettelijke taken uit, maar niet allemaal op dezelfde manier, laat staan met dezelfde systemen (en inrichting daarvan). Neemt niet weg dat er op veel gebieden inderdaad (nog) meer samen opgetrokken kan worden. :)
Reageer
Zo te lezen is er een centraal meldpunt bij de Vereniging Nederlandse Gemeenten. Maar een centraal meldpunt zorgt er niet voor dat de gemeenten de eigen verantwoordelijkheid maar kunnen afschuiven op die vereniging. Gemeenten zijn via de grondwet allemaal zelfstandige besturen, die gekozen worden om zelfstandig keuzes te maken en dus ook eigen verantwoordelijkheid over hun keuzes hebben.
Reageer
De gemeente Amsterdam zegt dat in bepaalde gevallen een beloning mogelijk is. Deze kan bestaan uit een vermelding of een attentie en wordt alleen toegekend aan de eerste melder van de kwetsbaarheid. Om misbruik te voorkomen, verzoekt de gemeente de melder om de kwetsbaarheid niet publiekelijk te maken, totdat deze is opgelost.
Dat is altijd zo lekker makkelijk. Een beloning wordt toegekend aan de eerste melder. Maarja, wie is dat? Ook al ben jij de eerste melder, als hun zeggen dat er een ander net voor je was dan kan je toch niks.

Wat ik dan zou doen is de kwetsbaarheid kenbaar maken zonder enige uitleg hoe deze na te bootsen. Dan wachten op de patch. Komt deze patch niet dan nogmaals kenbaar maken zonder uitleg. Je bent dan de eerste als men om uitleg vraagt hoe de kwetsbaarheid na te bootsen. Zo voorkom je bij een aangifte dat je teveel informatie vrijspeelt welke hun kunnen gebruiken als zijnde ‘wisten we al’ en dus niet hoeven uit te keren.
Reageer
Of je wordt afgescheept met een fooi. Een schamele beloning voor het doen van het achterstallige werk van de wegbezuinigde IT-ers.
Reageer
Daarom ga je een NDA aan waarin voorwaarden en beloning worden opgestelt voordat de ethische hacker overgaat op het toelichten van de kwetbaarheid? Dat is immers de normale gang van zaken dus dat zal hier niet anders zijn neem ik aan?
Reageer
Onder het motto nooit geschoten is altijd mis kan ik me hier wel in vinden.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee