Back to the overview

Responsible Disclosure Policy

Bij de KNAW vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Maak direct een melding bij ons, als je een zwakke plek in één van onze systemen hebt gevonden, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij werken graag met je samen om onze gebruikers en onze systemen beter te kunnen beschermen.

Geen uitnodiging tot actief scannen

Ons beleid voor responsible disclosure is geen uitnodiging om ons KNAW-netwerk uitgebreid actief te scannen om zwakke plekken te ontdekken. Wij monitoren ons bedrijfsnetwerk. De kans bestaat dat een scan wordt opgepikt en dat onze groep CSIRT-KNAW onderzoek moet doen met onnodige kosten als gevolg.

Strafrecht en Responsible Disclosure

Er bestaat een kans dat u tijdens uw onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Als u zich aan de onderstaande voorwaarden heeft gehouden, zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of u strafrechtelijk vervolgd wordt. Het Openbaar Ministerie heeft hierover informatie gepubliceerd: https://www.om.nl/onderwerpen/cybercrime/hack_right/zelf-fouten-in-ict-systemen-zoeken

Wij vragen je het volgende te doen

Wat wij beloven

Uitzonderingen

Het netwerk van de KNAW biedt ook internettoegang voor onderzoekers, internationale samenwerkingsverbanden en gelieerde partijen die hun eigen websites en systemen onderhouden. Meldingen voor dergelijke systemen en sites worden wel geaccepteerd en doorgestuurd naar de verantwoordelijke organisaties. Wat deze organisaties er mee doen, is buiten beeld en scope van de KNAW.

De KNAW reageert niet op meldingen van triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. Hieronder staan voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s (niet uitputtend), die buiten bovenstaande regeling vallen:

Ons beleid valt onder een Creative Commons Naamsvermelding 3.0 licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra (responsibledisclosure.nl), het SURF Model Responsible Disclosure en op voorbeelden uit de universitaire wereld (Universiteit Twente, Vrije Universiteit, Fontys).