Coördinated Vulnerability Disclosure (CVD) melden

Meander Medisch Centrum wil graag met u samenwerken om onze systemen nog beter te kunnen beschermen. Vindt u een kwetsbaarheid in een systeem van Meander, dan kunt u dit veilig aan ons melden. Het doen van zo'n melding heet Coördinated Vulnerability Disclosure (CVD).

Terug

  • U doet een korte aankondiging van uw bevindingen bij voorkeur door een e-mail te sturen naar  cvd@meandermc.nl. Meander neemt ook anonieme meldingen in behandeling;
  • Geef in uw melding voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk;
  • Laat minimaal een e-mailadres of telefoonnummer achter zodat wij contact met u kunnen opnemen.

Zorg ervoor dat:

  • U de melding zo snel mogelijk na ontdekking van de kwetsbaarheid doet;
  • U de informatie over het beveiligingsprobleem niet met anderen deelt, totdat u van ons hoort of het is opgelost;
  • U bij het vermoeden dat u via een kwetsbaarheid medische gegevens kunt inzien dit niet zelf gaat verifiëren maar dit door ons laat doen;
  • U verantwoordelijk omgaat met de kennis over het beveiligingsprobleem, door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

Vermijd altijd de volgende handelingen:

  • Plaatsen van malware;
  • Kopiëren, wijzigen of verwijderen van gegevens in een systeem. Een alternatief hiervoor is een directory-listing van een systeem maken;
  • Aanbrengen van veranderingen in het systeem;
  • Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;
  • Aanval(len) op onze fysieke beveiliging en gebruik van social engineering, DDoS (Distributed Denial of Service), spam, brute-force aanvallen en/of applicaties van derden.

  • Meander behandelt uw melding vertrouwelijk en deelt uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is;
  • U krijgt een ontvangstbevestiging van Meander en binnen 5 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing;
  • Als u zich aan bovenstaande verwachtingen houdt, zullen wij in principe geen juridische stappen tegen u ondernemen betreffende de melding;
  • Als melder van het probleem houdt Meander u op de hoogte van de voortgang van het oplossen van het probleem;
  • In berichtgeving over het gemelde probleem zal Meander, als u dit wenst, uw naam vermelden als de ontdekker;
  • Als dank voor uw hulp in het beter beschermen van onze systemen biedt Meander een beloning aan. Op voorwaarde dat het een melding betreft van een tot dan toe ons nog onbekende kwetsbaarheid, dat u melding binnen onze scope valt. De beloning is afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding. Afhankelijk van deze items kan de beloning dus variëren;
  • We streven ernaar om alle problemen zo snel mogelijk op te lossen;
  • Samen overleggen we daarna over de meerwaarde van een eventuele publicatie van het opgeloste probleem.

Meander neemt geen triviale kwetsbaarheden of securityissues in behandeling die niet misbruikt kunnen worden. Hieronder staan enkele voorbeelden van bekende kwetsbaarheden en securityissues die dus buiten bovenstaande regeling vallen:

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina's;
  • Fingerprinting/versievermelding op publieke services;
  • Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt);
  • Clickjacking en problemen die alleen te exploiten zijn via clickjacking;
  • Geen secure/HTTP-only flags op ongevoelige cookies;
  • OPTIONS HTTP method ingeschakeld;
  • Ontbrekende TXT record voor DMARC;
  • Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit.

Dit is geen uitputtende lijst. Meander toetst haar systemen regelmatig op kwetsbaarheden en eventuele bevindingen die daaruit voortkomen worden ook gezien als bekende problemen.

CVD-beleid Meander Medisch Centrum

Ons CVD-beleid is geen uitnodiging om onze bedrijfsystemen actief te scannen op een kwetsbaarheid. 

Het Meander Coördinated Vulnerability Disclosure beleid is o.a. opgesteld met input van voorbeeldbeleid van Floor Terra.

Meander kan het beleid ten aanzien van de Coördinated Vulnerability Disclosure herzien als daartoe aanleiding bestaat. Het actuele beleid staat altijd op de Meander website.

Publicatiedatum: mei 2022.