Details

Het kan onverhoopt voorkomen dat er een zwakke plek in een van onze systemen zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan ons melden. U mag de Belastingdienst houden aan dit beleid ten aanzien van Responsible Disclosure.

Als u een kwetsbaarheid in de ICT-systemen van de Belastingdienst hebt gevonden, horen wij dit graag van u, zodat wij zo snel mogelĳk de benodigde maatregelen kunnen treffen. Wij willen graag met u samenwerken om de veiligheid van onze ICT-systemen te verbeteren.

Wij vragen u om

zo snel mogelijk na ontdekking van de kwetsbaarheid deze aan ons door te geven
uw bevindingen te e-mailen naar [email protected]
Versleutel de bevindingen indien mogelijk met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt.
voldoende informatie te geven om het probleem te reproduceren zodat we dit zo snel mogelijk kunnen verhelpen
Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
contactgegevens achter te laten zodat ons Security Operations Center met u in contact kan komen om samen te werken aan een veilig resultaat
Laat minimaal een e-mailadres of telefoonnummer achter.
de informatie over het beveiligingsprobleem niet met anderen te delen totdat dit is opgelost
verantwoordelijk om te gaan met de kennis van het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen
u te realiseren dat eventuele informatie uit belastingdienstsystemen vallen onder de (fiscale) geheimhoudingsplicht en dat verder bekendmaken van die informatie strafbaar is

Vermijd in elk geval

het plaatsen van malware
het kopiëren, wijzigen of verwijderen van gegevens of configuraties van een systeem (een alternatief hiervoor is het maken van een directorylisting of screenshot)
het gebruik van het zogeheten 'bruteforcen' om toegang tot systemen te verkrijgen
het gebruik van denial-of-service aanvallen of social engineering

U mag het volgende van ons verwachten

Als uw melding aan de bovenstaande voorwaarden voldoet, verbinden wij geen juridische consequenties aan deze melding. Wij behandelen uw melding strikt vertrouwelijk en delen geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
Wij sturen u binnen 1 werkdag een ontvangstbevestiging.
Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
Wij houden u van de voortgang op de hoogte. Wij lossen het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepalen we wanneer en op welke wijze hierover wordt gepubliceerd.
In onderling overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
Als dank voor uw hulp bieden wij een ludieke beloning voor elke melding van een ons nog onbekend en serieus beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn.

Deze tekst is opgesteld als aanvulling op de leidraad van het Nationaal Cyber Security Centrum.

Wij vragen u om

zo snel mogelijk na ontdekking van de kwetsbaarheid deze aan ons door te geven

uw bevindingen te e-mailen naar [email protected]

Versleutel de bevindingen indien mogelijk met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt.

voldoende informatie te geven om het probleem te reproduceren zodat we dit zo snel mogelijk kunnen verhelpen
Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.

contactgegevens achter te laten zodat ons Security Operations Center met u in contact kan komen om samen te werken aan een veilig resultaat

Laat minimaal een e-mailadres of telefoonnummer achter.

de informatie over het beveiligingsprobleem niet met anderen te delen totdat dit is opgelost

verantwoordelijk om te gaan met de kennis van het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen

u te realiseren dat eventuele informatie uit belastingdienstsystemen vallen onder de (fiscale) geheimhoudingsplicht en dat verder bekendmaken van die informatie strafbaar is

Vermijd in elk geval

het plaatsen van malware

het kopiëren, wijzigen of verwijderen van gegevens of configuraties van een systeem (een alternatief hiervoor is het maken van een directorylisting of screenshot)

het gebruik van het zogeheten 'bruteforcen' om toegang tot systemen te verkrijgen

het gebruik van denial-of-service aanvallen of social engineering

U mag het volgende van ons verwachten

Als uw melding aan de bovenstaande voorwaarden voldoet, verbinden wij geen juridische consequenties aan deze melding. Wij behandelen uw melding strikt vertrouwelijk en delen geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.

Wij sturen u binnen 1 werkdag een ontvangstbevestiging.

Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.

Wij houden u van de voortgang op de hoogte. Wij lossen het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepalen we wanneer en op welke wijze hierover wordt gepubliceerd.

In onderling overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

Als dank voor uw hulp bieden wij een ludieke beloning voor elke melding van een ons nog onbekend en serieus beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn.

Deze tekst is opgesteld als aanvulling op de leidraad van het Nationaal Cyber Security Centrum.