Melding maken van een kwetsbaarheid
Het Deventer Ziekenhuis hecht veel belang aan de veiligheid van haar (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Als u zo’n kwetsbaarheid ontdekt, kunt u dit veilig aan ons melden. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure. Op deze manier kan Deventer Ziekenhuis beschermende maatregelen treffen.
Kwetsbaarheid melden
U meldt uw bevindingen bij Stichting Z-CERT door een e-mail te sturen naar cvd@z-cert.nl. U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor Deventer Ziekenhuis de Coordinated Vulnerability Disclosure meldingen afhandelt. Zij werken samen met u als melder en met Deventer Ziekenhuis om te zorgen dat uw melding wordt opgepakt.
Niet in de scope
Z-CERT neemt geen triviale kwetsbaarheden of securityissues die niet misbruikt kunnen worden in behandeling. Op Z-CERT staan een lijst van bekende kwetsbaarheden en securityissues die buiten de regeling vallen. Dit houdt niet dat ze niet opgelost worden. Bij het CVD-proces gaat het om melden van zaken waar direct misbruik van gemaakt kan worden. Lijst die het Z-CERT hanteert.
Wat doen wij met uw melding?
- Deventer Ziekenhuis en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
- U krijgt een ontvangstbevestiging van Z-CERT en binnen 5 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
- Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
- In berichtgeving over het gemelde probleem zal Deventer Ziekenhuis, als u dit wenst, uw naam vermelden als de ontdekker.
- Als dank voor uw hulp biedt Z-CERT een beloning aan, afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren.
Reporting a vulnerability
Deventer Hospital attaches great importance to the safety of its (medical) equipment, software and services. Despite the care for the security of this, it is possible that there is a vulnerability. If you discover such a vulnerability, you can safely report it to us. This approach is called Coordinated Vulnerability Disclosure. In this way Deventer Hospital can take protective measures.
You report your findings to the Z-CERT Foundation by sending an e-mail to cvd@z-cert.nl. You can use the PGP key for this. The Z-CERT Foundation is the organization that handles Coordinated Vulnerability Disclosure reports for Deventer Hospital. They work together with you as a reporter and with Deventer Hospital to ensure that your report is dealt with.
Not in scope
Z-CERT will not process reports of vulnerabilities or security issues that can not be abused or are trivial. Below are a couple of examples of known vulnerabilities and issues that are outside the scope. This does not mean they are not important or should not be resolved, however our CVD process is meant for issues that can be actively abused. For example a vulnerabilities that can be abused by a public available exploit or a misconfiguration that can be used to bypass an existing security control. This is the list of exclusion from Z-CERT.
How we will handle your report
- Deventer Ziekenhuis and Z-CERT will treat your report confidentially and will not share your personal data unless required by law;
- Z-CERT will send you an acknowledgement of receipt and will respond to your report with an evaluation and an expected resolution date within 5 working days;
- Deventer Ziekenhuis and Z-CERT will keep you informed of the progress in resolving the problem;
- In communication about the reported problem we will mention your name as the discoverer of the problem (unless you desire otherwise).
- As a thank you for your help, we offer a reward for every report of an unknown security problem. We determine the size of the reward on the basis of the severity of the leak and the quality of the report.