Informatiebeveiliging en Coordinated Vulnerability Disclosure

Zorg bij jou (ZBJ) hecht groot belang aan de informatiebeveiliging van haar medische apparatuur, softwareplatform en dienstverlening. Ondanks onze voortdurende inspanningen om beveiligingsrisico's te minimaliseren, kunnen er kwetsbaarheden worden ontdekt. Wij waarderen de bijdrage van beveiligingsonderzoekers en stimuleren de verantwoordelijke melding van beveiligingsissues via ons Coordinated Vulnerability Disclosure (CVD) proces.

Ons Coordinated Vulnerability Disclosure-beleid vormt geen toestemming of uitnodiging voor actieve beveiligingstests. Wij monitoren systemen voortdurend. Ongeautoriseerde activiteiten worden waarschijnlijk gedetecteerd en kunnen onnodige kosten veroorzaken. Wij investeren die middelen liever in zorgtransformatie.

Melding maken van een kwetsbaarheid

Komt u een kwetsbaarheid tegen? Laat het ons alstublieft snel weten, zodat we direct kunnen handelen. Samen houden we patiëntgegevens en onze systemen zo veilig mogelijk.

Wanneer u via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding.  

Stichting Z-CERT handelt CVD-meldingen voor ZBJ af. Op https://z-cert.nl/kwetsbaarheid-melden leest u hoe u de kwetsbaarheid kunt melden, welke voorwaarden er aan uw CVD-melding worden gesteld en wat u kunt verwachten van de afhandeling van uw melding. Mocht dit niet nodig zijn kan contact worden opgenomen met: iso@zorgbijjou.nl

Hall of fame

Wij maken gebruik van de eregalerij van Z-CERT, waarin onderzoekers die u voor zijn gegaan worden vermeld.

Wat wij van u verwachten

Wij vragen u de volgende uitgangspunten in acht te nemen.

  • Verantwoordelijk handelen
    Voer geen destructieve acties uit en download geen onnodige data.  
  • Vertrouwelijkheid
    Deel informatie over de kwetsbaarheid niet met derden totdat wij gezamenlijk overeenkomen dat dit kan.  
  • Proportionaliteit
    Beperk uw onderzoek tot het minimum dat nodig is om de kwetsbaarheid aan te tonen.

Wat u kunt verwachten van ons

U mag van ons het volgende verwachten bij een kwetsbaarheidsmelding.

  • Bevestiging van ontvangst binnen 3 werkdagen.
  • Initiële beoordeling en response binnen 10 werkdagen.
  • Regelmatige updates over de voortgang van het oplossen.
  • Erkenning voor uw bijdrage (indien gewenst) na succesvolle remediation.
  • Geen juridische vervolgstappen bij melding conform dit beleid.

Wat wij niet als kwetsbaarheid zien

De volgende bevindingen beschouwen wij niet als kwetsbaarheden in de context van dit CVD-beleid:

Configuratie en hardening

  • Ontbrekende HTTP security headers (Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy)
  • SSL/TLS configuratie issues zonder directe exploitatie:  
    • Zwakke of verouderde cipher suites
    • Uitgeschakelde forward secrecy
    • SSL configuratiefouten zonder bewezen impact
  • Ontbrekende secure/HTTPOnly flags op niet-kritieke cookies
  • Ingeschakelde OPTIONS HTTP-methode zonder verdere impact

E-mail beveiliging

  • SPF, DKIM of DMARC configuratie-issues
  • E-mail spoofing kwetsbaarheden zonder bewezen business impact

DNS en infrastructuur

  • Ontbrekende DNSSEC implementatie
  • Host header injection zonder bewezen exploitatie
  • Fingerprinting of versie-informatie op publieke services

Informatieblootstelling (laag risico)

  • Publieke directories met niet-gevoelige informatie (robots.txt, favicon.ico, etc.)
  • Directory listing van publieke, niet-gevoelige content
  • Metadata-informatie zonder gevoelige data
  • HTTP 404 pagina's en andere non-200 responses
  • PHP debugging informatie zonder gevoelige data-blootstelling

User interface aanvallen

  • Clickjacking kwetsbaarheden zonder bewezen business impact
  • Content spoofing/text injection op error pagina's
  • Issues die uitsluitend via clickjacking te exploiteren zijn

Verouderde software

  • Meldingen van verouderde software zonder:  
    • Concrete proof-of-concept van werkende exploit
    • Duidelijke impact-analyse
    • Bewezen exploiteerbaarheid

Rate limiting en DoS

  • Rate limiting issues zonder bewezen impact op beschikbaarheid
  • Theoretische DoS-scenario's zonder praktische uitvoerbaarheid