Beleid voor gecoördineerde openbaarmaking van kwetsbaarheden

Hoe een kwetsbaarheid melden aan Autovig: reikwijdte, kanaal, gecoördineerd tijdpad, Belgisch CVD-vluchthaven (Wet 28 nov 2022) en CCB-doorverwijzing.

Autovig verwelkomt te goeder trouw uitgevoerd beveiligingsonderzoek op haar publieke eigendommen. Dit beleid is het CVD-beleid van de verantwoordelijke in de zin van ISO/IEC 29147:2018, de Belgische Wet van 28 november 2022 (voorwaarden van de CVD-vluchthaven en de rol van het Centrum voor Cybersecurity België — CCB) en de Good Practice Guide on Vulnerability Disclosure van ENISA. Het is van toepassing op de website autovig.eu (de „Website").

1. Meldkanaal

Stuur één gestructureerde melding naar:

E-mail: contact@autovig.eu

Onderwerpregel: vermeld beveiligingsmelding

PGP-sleutel: TODO(pgp-key) — zodra de sleutel is gepubliceerd, is deze op deze pagina beschikbaar.

Indien u ons niet kunt bereiken, of geen ontvangstbevestiging ontvangt binnen de termijn van afdeling 6, kunt u de melding doorverwijzen naar het Belgische nationale CSIRT:

Centrum voor Cybersecurity België (CCB) — CERT.be — https://ccb.belgium.be/nl en https://cert.be.

U kunt schrijven in het Engels, Frans, Duits, Nederlands, Roemeens of Pools.

2. Reikwijdte

In de reikwijdte:

autovig.eu en elke subdomein die productie-inhoud aanbiedt;

de uitvoer van de statische build: HTML, CSS, JavaScript-bundels en de door ons uitgezonden gestructureerde data;

de cookietoestemmingsbanner en de toestemmingsopslag aan de clientzijde.

3. Buiten de reikwijdte

Websites van derde operatoren (ASFINAG, DARS, NÚSZ, BGTOLL, CNAIR, enz.) — meld die rechtstreeks aan de operator.

Problemen die een bevoorrechte positie vereisen (reeds gecompromitteerde browser, kwaadaardige browserextensie, fysieke toegang tot het toestel van de gebruiker).

Output van geautomatiseerde scanners zonder duidelijke en aantoonbare beveiligingsimpact.

Meldingen over ontbrekende best practices (HTTP-headers, TLS-configuratie, identificatie van softwareversies) zonder aantoonbaar exploiteerbaar risico.

Denial-of-service-tests, social engineering tegen personeel of leveranciers, aanvallen op fysieke locaties of op derde leveranciers (hosting, DNS, e-mail).

4. Verwachte inhoud van de melding

Een korte beschrijving van het probleem en de betrokken URL of component.

Stappen om het probleem te reproduceren, met inbegrip van de request-payload waar relevant.

De impact die u inschat en een realistisch exploitatiescenario.

De datum en het tijdstip van de test en de gebruikte browser, tool of script.

De naam of pseudoniem waaronder u eventueel publiekelijk bedankt wenst te worden (afdeling 8).

5. Wat wij van u vragen

Raadpleeg, wijzig of download geen gegevens die u niet toebehoren. Als een verkeerde configuratie gegevens van derden blootlegt, stop en verwittig ons — download niet meer dan het strikt noodzakelijke om het probleem aan te tonen.

Voer geen denial-of-service-tests, social engineering, aanvallen op fysieke locaties of op derde leveranciers uit.

Geef ons een redelijke termijn om te corrigeren vóór elke openbaarmaking (afdeling 7).

Handel te goeder trouw. Meldingen met de oprechte bedoeling de beveiliging te verbeteren zijn welkom; bedreigingen, afpersing of verzoeken om betaling tegen niet-openbaarmaking niet.

6. Gecoördineerd tijdpad — onze verbintenissen

Ontvangstbevestiging binnen 5 werkdagen na ontvangst.

Triage (bevestiging van reikwijdte, eerste ernstinschatting) binnen 10 werkdagen.

Statusupdates voor materiële bevindingen ten minste elke 15 kalenderdagen tot afsluiting.

Correctie binnen een termijn evenredig aan de ernst: kritische of actief uitgebuite kwetsbaarheden hebben voorrang; standaardcorrecties beogen 90 kalenderdagen vanaf de triage; elke langere termijn wordt gemotiveerd en met u overeengekomen.

Publieke erkenning bij oplevering van de correctie, indien gewenst (afdeling 8).

7. Gecoördineerde publieke openbaarmaking

Wij volgen een model van gecoördineerde openbaarmaking:

de melding en de correctie blijven vertrouwelijk tot de oplevering van de correctie of tot het verstrijken van de standaardtermijn van 90 kalenderdagen vanaf de triage;

de verantwoordelijke en de melder komen de bewoording, vermelding en timing van elke publicatie overeen;

wanneer een bevinding een derde betreft (operator, verwerker, bibliotheek), kan de termijn in onderling overleg worden verlengd om die derde toe te laten een eigen respons te coördineren;

bij meningsverschil over de timing kan het dossier worden voorgelegd aan het CCB (afdeling 9).

8. Erkenning — momenteel geen bugbounty-programma

Autovig voert momenteel geen betaald bugbounty-programma. Erkenning gebeurt door publieke vermelding op deze pagina (onder uw gewenste naam of pseudoniem) en door rechtstreekse correspondentie. Er wordt geen toezegging van geldelijke beloning gedaan; indien later een programma wordt ingevoerd, worden de voorwaarden hier gepubliceerd voordat een melding daarop kan steunen.

9. Vluchthaven en Belgisch wettelijk kader

Wij zien af van rechtsvordering — en behandelen uw gedrag als toegestaan voor de toepassing van de Belgische strafbaarstellingen inzake onbevoegde toegang tot informaticasystemen (in het bijzonder de artikelen 550bis en 550ter van het Strafwetboek) — op voorwaarde dat u:

te goeder trouw handelt met de oprechte bedoeling de beveiliging te verbeteren;

binnen de reikwijdte van afdeling 2 blijft en de buiten-reikwijdte-lijst van afdeling 3 respecteert;

enkel toegang neemt tot het strikt noodzakelijke minimum aan gegevens om de bevinding te staven, en geen gegevens van derden exfiltreert, bewaart, publiceert of deelt;

de beschikbaarheid, integriteit of vertrouwelijkheid niet aantast verder dan strikt nodig om het probleem aan te tonen;

ons zonder onnodig uitstel meldt via het kanaal van afdeling 1;

het gecoördineerd openbaarmakingstijdpad van afdeling 7 respecteert.

Deze toestemming wordt verleend door Autovig in haar hoedanigheid van verantwoordelijke voor de bedoelde activa. Zij neutraliseert het bestanddeel onbevoegde toegang van de artikelen 550bis/550ter voor de handelingen binnen de reikwijdte. Zij bindt overheidsinstanties of derden wier systemen incidenteel kunnen worden geraakt niet. Een onderzoeker die bovendien het CCB op de hoogte brengt en de voorwaarden van de Belgische Wet van 28 november 2022 (klokkenluiders en gecoördineerde openbaarmaking van kwetsbaarheden) respecteert, geniet bovendien het wettelijke CVD-vluchthavenkader dat door het CCB wordt beheerd, los van deze door de verantwoordelijke verleende toestemming. Bij twijfel is het CVD-beleid van het CCB (https://ccb.belgium.be/nl/cvdp) de referentie.

10. Verwerking van uw persoonsgegevens

De gegevens die u bij een melding verstrekt (e-mailadres, inhoud van de melding, eventueel PGP-versleutelde inhoud) worden verwerkt door Autovig als verwerkingsverantwoordelijke op grond van het gerechtvaardigd belang (artikel 6, lid 1, f) AVG), met het oog op triage, correctie en gecoördineerde openbaarmaking. Meldingen worden tot 5 jaar na afsluiting bewaard, conform de aanbevolen termijn van het CVD-beleid van het CCB. Uw rechten, de klachtroute naar de GBA/APD en de overige AVG-informatie staan in ons Privacybeleid.

Bronnen

Richtlijn (EU) 2022/2555 (NIS2)

Belgische Wet van 26 april 2024 — omzetting van NIS2

Belgische Wet van 28 november 2022 (klokkenluiders / gecoördineerde openbaarmaking van kwetsbaarheden)

Belgisch Strafwetboek, art. 550bis en 550ter

ISO/IEC 29147:2018 — Informatietechnologie — Openbaarmaking van kwetsbaarheden

ENISA — Good Practice Guide on Vulnerability Disclosure

Centrum voor Cybersecurity België — beleid voor gecoördineerde openbaarmaking van kwetsbaarheden

Verordening (EU) 2016/679 (AVG)