Over NPO NPO Start
Overzicht

Hall of Fame

Op deze pagina bedanken wij mensen die een kwetsbaarheid in onze internetbeveiliging hebben geconstateerd en die dat op een verantwoorde wijze hebben gemeld. ‘Verantwoord’ wil zeggen dat zij hebben gehandeld volgens ons Responsible Disclosure beleid (zie hieronder). Wij zijn hen dankbaar, omdat we met hun meldingen onze beveiliging verder kunnen verbeteren.

Wij bedanken:

Responsible Disclosure

De NPO vindt het essentieel dat de ICT-systemen van de NPO veilig zijn en streeft een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt. 

Kwetsbaarheden in ICT-systemen van de NPO
Indien u een zwakke plek in één van de ICT-systemen van de NPO heeft gevonden, hoort de NPO dit graag van u. Zo kan de NPO zo snel mogelijk de benodigde maatregelen nemen om de gevonden kwetsbaarheid te verhelpen.

De NPO hanteert voor dergelijke meldingen de zogenaamde ‘Responsible disclosure’ principes. Dat betekent dat als u verantwoord met de kwetsbaarheid om zult gaan (zoals hieronder beschreven), de NPO daar iets tegenover stelt. Zoals vermelding op deze Hall of Fame-pagina.

Hieronder treft u de afspraken aan die melder en NPO zullen hanteren:

De NPO vraagt van u

  • Uw bevindingen te mailen naar informatiebeveiliging@npo.nl. Versleutel de bevindingen indien mogelijk  om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie geven om het probleem te reproduceren, zodat de NPO het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
  • Juiste contactgegevens achter te laten, zodat de NPO met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal naam, een email adres en/of telefoonnummer achter.
  • Schriftelijk te bevestigen dat u conform deze ‘Responsible Disclosure’ hebt gehandeld en zult blijven handelen.
  • De informatie over het beveiligingsprobleem niet met anderen te delen.

Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

Vermijd dus in elk geval de volgende handelingen

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruikmaken van geautomatiseerde scantools.
  • Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  • Het gebruik maken denial-of-service of social engineering.

Wat u mag verwachten van de NPO

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van de NPO aan bovenstaande voorwaarden voldoet, zal de NPO geen juridische consequenties verbinden aan deze melding.
  • De NPO behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kan de NPO, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid, bijvoorbeeld op de Hall of Fame-pagina.
  • De NPO vraagt u schriftelijk te bevestigingen dat u conform deze ‘Responsible Disclosure’ hebt gehandeld en zult blijven handelen, en vraagt om uw contactgegevens voor zover die nog niet bekend waren.
  • De NPO houdt de melder op de hoogte over de beoordeling van de melding en de voortgang van het oplossen van het probleem.
  • De NPO lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk op.
  • De NPO biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een vermelding in deze hall of fame tot maximaal een bedrag van € 50 aan cadeaubonnen. Het moet hierbij wel gaan om een voor de NPO nog onbekend en serieus beveiligingsprobleem.