Gemeente Amsterdam opent centraal meldpunt kwetsbaarheden

De gemeente Amsterdam heeft een nieuw online meldpunt geopend waar ethische hackers zwakke plekken in haar informatiesystemen kunnen melden. Op die manier wil de gemeente 'veiligheid en de betrouwbaarheid van de systemen verbeteren'.

Het meldpunt is sinds woensdag online. Een melding maken over een kwetsbaarheid was al mogelijk bij de gemeente, maar de overheidsinstelling wilde naar eigen zeggen 'de drempel voor ethische hackers verlagen en meldingen stimuleren'. Het roept ethische hackers op om via het meldpunt contact op te nemen als ze een kwetsbaarheid hebben gevonden in de systemen van de overheidsinstelling. Dit kan via een formulier. De melding kan anoniem worden gedaan, maar de gemeente benadrukt dat het graag contact opneemt. De security-experts van de gemeente Amsterdam zullen de bevindingen vervolgens onderzoeken. Binnen vijf werkdagen ontvangt de melder een e-mail met een eerste reactie.

Kwetsbaarheden die gemeld kunnen worden zijn onder meer cross-site-scripting-kwetsbaarheden, SQL-injectie-kwetsbaarheden en ongeautoriseerde toegang tot gegevens. De gemeente Amsterdam neemt geen meldingen in behandeling van 'triviale kwetsbaarheden of security-issues die niet misbruikt kunnen worden'. Als voorbeeld noemt het kwetsbaarheden die alleen gebruikers van verouderde of niet gepatchte browsers en platforms treffen.

De gemeente Amsterdam zegt dat in bepaalde gevallen een beloning mogelijk is. Deze kan bestaan uit een vermelding of een attentie en wordt alleen toegekend aan de eerste melder van de kwetsbaarheid. Om misbruik te voorkomen, verzoekt de gemeente de melder om de kwetsbaarheid niet publiekelijk te maken, totdat deze is opgelost.

Update, 19.52 uur: Aanvullende informatie toegevoegd over de oprichting van het nieuwe meldpunt.

Door Loïs Franx

Redacteur

Feedback • 24-11-2022 18:49
19 • submitter: Kalief

24-11-2022 • 18:49

19

Submitter: Kalief

Lees meer

Beveiligingsonderzoekers melden opnieuw kwetsbaarheid in log4j-library
Beveiligingsonderzoekers melden opnieuw kwetsbaarheid in log4j-library Nieuws van 15 december 2021
Beveiliging en antivirus Amsterdam Hackers Hackerspace Nederland

Reacties (19)

-Moderatie-faq
19
19
11
2
0
5
Wijzig sortering

Sorteer op:

Weergave:
sOid 24 november 2022 19:22
Vreemd dat dit nieuws is om eerlijk te zijn. Coordinated Vulnerability Disclosure (CVD, voorheen Responsible Disclosure) is een control uit de Baseline Informatiebeveiliging Overheid (BIO, control 16.1.3.1). Elke overheidsinstantie moet dit dus bieden. Al schrijft de norm niet voor hoe dat moet. Dat kan dus ook via security.txt (cc @Triblade_8472).

[Reactie gewijzigd door sOid op 23 juli 2024 22:28]

kodak
@sOid24 november 2022 21:52
Het nieuws lijkt dat de gemeente er kennelijk meer aan doet dan voorheen. Kennelijk huren ze nu een bedrijf in om de meldingen te verwerken. Wat ik alleen niet lees is waarop ze baseren dat dit de drempel om te melden zou verlagen of meldingen zou stimuleren. Want dan zegt de gemeente kennelijk te weten dat deze veranderingen daarvoor zou zorgen. Het klinkt een beetje alsof de gemeente meldingen niet aantrekkelijk genoeg zou afhandelen of liever naar de mening van een ingehuurd bedrijf luistert als die de melding net als de melder acceptabel vinden.
StephanVierkant 24 november 2022 22:14
Ik heb hier een tijdje geleden naar gevraagd bij de Gemeente Amsterdam, omdat er wel een plek om te melden was, maar geen duidelijk beleid (Coordinated Vulnerability Disclosure of voorheen vaak Responsible Disclosure genoemd). Zonder zo'n beleid weet je dus niet zeker of er bijv. aangifte wordt gedaan als je een kwetsbaarheid meldt.

Dit stond o.a. in de reactie van de Privacy Officer (27 okt. 2021):
De gemeente Amsterdam legt op dit moment de laatste hand aan het vaststellen van beleid rondom het melden van een datalek. Een datalek of beveiligingsincident kan op dit moment gemeld worden via het algemene contactformulier. Indien u een beveiligingsincident of datalek in de publiciteit wilt brengen, dan verzoeken wij u om de gemeente Amsterdam daaraan voorafgaand enige tijd te geven om het probleem (zoveel mogelijk) op te lossen.

Een beveiligingsincident of datalek van de gemeente Amsterdam kan uiteraard ook altijd gemeld worden onder de Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure) van de Informatiebeveiligingsdienst van de VNG.
Het heeft dus meer dan een jaar gekost, maar goed dat er nu uitgebreide uitleg is hoe je problemen kunt melden.
Stroopwafels 24 november 2022 19:03
Dit was toch al beschikbaar voor gemeente Amsterdam?
Of is dit anders dan onderstaande formulier wat al sinds 2019 bestond? https://web.archive.org/w.../privacy/beveiligingslek/
Kalief @Stroopwafels24 november 2022 19:11
Daar is de Archive niet voor nodig, het bestaat nog steeds:
https://www.amsterdam.nl/privacy/beveiligingslek/
Maar inderdaad, wat het verschil is?

Amsterdam heeft blijkbaar meerdere varianten van die meldpunten:
https://www.google.com/search?q=amsterdam.nl+beveiligingslek

[Reactie gewijzigd door Kalief op 23 juli 2024 22:28]

jeanj @Kalief24 november 2022 20:54
Het ene is een algemeen formulier waar beveilignslek geen optie is. Ik vermoed dat deze naar de algemene 14020 servicedesk gaat, die voor alle contacten met de gemeente is.

Dat andere is heel specifiek voor beveiligings incidenten, misschien wordt die direct naar het SOC gestuurd.

Jammer dat het via een externe partij gaat, ze hadden ook gewoon een eigen formulier kunnen maken…..
BasW @Kalief24 november 2022 19:40
Ik vermoed dat beide partijen niet van elkaars bestaan weten, ik heb contact opgenomen om dat maar eens te laten bijwerken.
Triblade_8472 24 november 2022 19:03
Is dit niet waar de security.txt voor bedoeld is?

Waarom dan weer een nieuwe soort meldpunt?
locke960 @Triblade_847224 november 2022 21:27
In security.txt staat waarschijnlijk een URL naar het meldpunt. ;)

De aankondiging van het meldpunt is dan vooral een PR dingetje. Elke organisatie stuurt kijk-eens-hoe-goed-we-nu-weer-bezig-zijn berichten de wereld in.
batjes @locke96025 november 2022 08:08
Amsterdam.nl heeft geen security.txt
Wouterkaas 24 november 2022 19:22
Zoveel gemeenten hebben toch zo’n meldpunt, al dan niet onder de noemer responsible disclosure?
Woesjah @Wouterkaas24 november 2022 19:56
Precies, vind het ook een beetje raar dat dit nieuwswaardig is.
Tys 24 november 2022 20:08
Afgezien van het feit dat dit totaal niet nieuwswaardig is, waarom blijven ook gemeenten alles stug zelf doen? Ze doen stuk voor stuk dag in dag uit precies hetzelfde. Richt een centraal meldpunt op, kieper alles wat op de gemeente site binnenkomt in die bak en los het probleem op. Maar niet voor één gemeente, gewoon voor allemaal.
Wouterkaas @Tys24 november 2022 20:40
Ze voeren weliswaar dezelfde wettelijke taken uit, maar niet allemaal op dezelfde manier, laat staan met dezelfde systemen (en inrichting daarvan). Neemt niet weg dat er op veel gebieden inderdaad (nog) meer samen opgetrokken kan worden. :)
kodak
@Tys24 november 2022 22:18
Zo te lezen is er een centraal meldpunt bij de Vereniging Nederlandse Gemeenten. Maar een centraal meldpunt zorgt er niet voor dat de gemeenten de eigen verantwoordelijkheid maar kunnen afschuiven op die vereniging. Gemeenten zijn via de grondwet allemaal zelfstandige besturen, die gekozen worden om zelfstandig keuzes te maken en dus ook eigen verantwoordelijkheid over hun keuzes hebben.
Yzord 25 november 2022 00:34
De gemeente Amsterdam zegt dat in bepaalde gevallen een beloning mogelijk is. Deze kan bestaan uit een vermelding of een attentie en wordt alleen toegekend aan de eerste melder van de kwetsbaarheid. Om misbruik te voorkomen, verzoekt de gemeente de melder om de kwetsbaarheid niet publiekelijk te maken, totdat deze is opgelost.
Dat is altijd zo lekker makkelijk. Een beloning wordt toegekend aan de eerste melder. Maarja, wie is dat? Ook al ben jij de eerste melder, als hun zeggen dat er een ander net voor je was dan kan je toch niks.

Wat ik dan zou doen is de kwetsbaarheid kenbaar maken zonder enige uitleg hoe deze na te bootsen. Dan wachten op de patch. Komt deze patch niet dan nogmaals kenbaar maken zonder uitleg. Je bent dan de eerste als men om uitleg vraagt hoe de kwetsbaarheid na te bootsen. Zo voorkom je bij een aangifte dat je teveel informatie vrijspeelt welke hun kunnen gebruiken als zijnde ‘wisten we al’ en dus niet hoeven uit te keren.
leesiktochniet @Yzord25 november 2022 20:43
Of je wordt afgescheept met een fooi. Een schamele beloning voor het doen van het achterstallige werk van de wegbezuinigde IT-ers.
Muna34 @Yzord25 november 2022 10:26
Daarom ga je een NDA aan waarin voorwaarden en beloning worden opgestelt voordat de ethische hacker overgaat op het toelichten van de kwetbaarheid? Dat is immers de normale gang van zaken dus dat zal hier niet anders zijn neem ik aan?
QuinJustus 24 november 2022 19:03
Onder het motto nooit geschoten is altijd mis kan ik me hier wel in vinden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq