Home

Coordinated Vulnerability Disclosure

Coordinated Vulnerability Disclosure

HEADING_1

ThiemeMeulenhoff hecht veel belang aan de beveiliging van haar systemen en educatieve applicaties. Als educatieve uitgever is er een maatschappelijke betrokkenheid en verantwoordelijkheid, en wordt ‘leren van elkaar’ gestimuleerd. Mocht daarom door een derde een kwetsbaarheid worden gevonden kan deze via een Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure) worden gemeld. Ondanks diverse voorzorgsmaatregelen blijft het altijd mogelijk dat er een zwakke plek in de door ThiemeMeulenhoff gebruikte applicaties te vinden is. Dit kan doordat een risico bekend is, maar eerder niet als een prioriteit is geclassificeerd, doordat het aanpassen van de systemen en onderliggende architectuur tijd vergt, of omdat ThiemeMeulenhoff helemaal niet bekend is met de kwetsbaarheid. Wanneer jij een zwakke plek in één van onze systemen ontdekt, vernemen wij dit graag van jou, zodat deze zwakke plek en haar risico beoordeeld kan worden en er gepaste maatregelen kunnen worden genomen. Hierdoor wordt er samen maatschappelijke verantwoordelijkheid genomen en samen leren geleerd. Deze Coordinated Vulnerability Disclosure is expliciet niet bedoeld als reclame voor specifieke (beveiligings)producten, en acquisitie wordt niet op prijs gesteld. Door het maken van een melding zal ThiemeMeulenhoff jouw melding conform onderstaande afspraken afhandelen.

  • Melder erkent dat op deze wijze een belangrijke maatschappelijke bijdrage wordt geleverd door kwetsbaarheden op gecoördineerde wijze te openbaren.

  • Mail jouw bevinding naar security@thiememeulenhoff.nl

  • Geef voldoende informatie om het probleem te reproduceren. Dit biedt de beste mogelijkheden om het probleem te begrijpen en te reproduceren, zodat er zo snel mogelijk actie kan worden ondernomen. Informatie waar behoefte aan is, zijn: •    Het IP-adres en bijbehorende URL van het getroffen systeem •    Een omschrijving van de kwetsbaarheid. •    Leg uit waarom de kwetsbaarheid het vermelden waard is. •    Een stappenplan, idealiter met screenprints, hoe de situatie te reproduceren. •    Graag de kans op actief uitbuiten door kwaadwillende aangeven? Hoog/Middel/Laag •    Graag de kans op schade aangeven? Hoog/Middel/Laag •    Aanvullende info idealiter logging, met name bij complexere bevindingen, ter eigen inzicht.

  • ThiemeMeulenhoff houdt zich aanbevolen voor tips die ons helpen het probleem op te lossen. Beperkt jezelf daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door jou geconstateerde kwetsbaarheid.

  • Contactgegevens achter te laten zodat er contact gezocht kan worden om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres achter.

  • Dien de melding a.u.b. zo snel mogelijk in na ontdekking van de kwetsbaarheid.

De volgende handelingen zijn niet toegestaan

  • Het plaatsen van malware, noch op onze systemen noch op die van anderen;

  • Het zogeheten “bruteforcen” van toegang tot systemen, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet, dat wil zeggen als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd;

  • Het gebruik maken van social engineering, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Eventuele bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen ThiemeMeulewnhoff en niet op het schaden van individuele personen die bij ThiemeMeulenhoff werkzaam zijn;

  • Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost;

  • Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens. In plaats van een complete database te kopiëren, kan er worden volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan;

  • Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DDoS-aanvallen);

  • Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.

Wat ThiemeMeulenhoff belooft:

  • Indien aan alle bovenstaande voorwaarden wordt voldaan, zal er geen strafrechtelijke aangifte worden gedaan, en ook geen civielrechtelijke zaak worden aangespannen.

  • Een melding wordt vertrouwelijk behandeld en besproken met de het security team, en eventueel de betrokken leverancier.

  • In alle gevallen blijft de melder anoniem.

  • ThiemeMeulenhoff is deelnemer aan een gezamenlijk initiatief Cyberweerbaarheid Groep Educatieve Uitgeverijen, en zal ervaringen op dit vlak binnen dit gremium bespreken, waaruit vervolgens als leermoment voor alle GEU leden een algemene communicatie kan volgen.

  • De security, risk en compliance officer of collega stuurt binnen vier weken een reactie, en houdt melder op de hoogte van de verdere voortgang van de oplossing.

  • ThiemeMeulenhoff treedt in overleg met de melder om de termijn vast te stellen waarop eventuele bekendmaking zal plaatsvinden. Deze termijn zal sterk afhangen van de aard van de kwetsbaarheid en het type systeem. Als richtlijn wordt een termijn van 60 dagen gebruikt.

  • Aan de melder zal nooit een financiële beloning worden geboden. De nadruk wordt gelegd op “samen leren”. De melder mag het doen van een melding of verdere verstrekking van informatie niet afhankelijk maken van de beloning.

  • De melder wordt bij een valide melding in elk geval voor een ‘jaar’ opgenomen in de Hall of Fame. In ieder geval is een welgemeend dankjewel altijd zijn plaats!

Dit beleid is geïnspireerd op de Leidraad Coordinated Vulnerability Disclosure van het NCSC en het voorbeeld op responsibledisclosure.nl.