Meld beveiligingslek, zwakke plek of misbruik computersystemen

Vitens vindt het belangrijk om veilige diensten te leveren. Ondanks alle zorg en inzet kunnen er situaties ontstaan waarin sprake is van een zwakke plek (of vermoeden daartoe) in onze beveiliging: een beveiligingslek. Als u denkt een zwakke plek in één van onze diensten te hebben gevonden, willen we graag met u samenwerken om deze situatie zo spoedig mogelijk op te lossen. Daarom verzoeken we u deze informatie met ons te delen.

Heeft u vragen die betrekking hebben tot mogelijke phishing berichten die u heeft ontvangen? Kijk dan hier voor meer informatie: https://www.vitens.nl/Service/Phishing. Op deze pagina vindt u de informatie om een melding te maken over een beveiligingslek of kwetsbaarheid van onze digitale infrastructuur, ook wel bekend als een Coordinated Vulnerability Disclosure (CVD). 

Wat moet u wel doen:

• Geef de kwetsbaarheid zo snel mogelijk aan ons door via e-mail. Onze contactgegevens kunt u vinden op onze security.txt pagina.
• Geeft voldoende informatie over de kwetsbaarheid. Wij vragen om een omschrijving van de kwetsbaarheid (inclusief IP-adressen, logs, screenshots, ect.) en de benodigde stappen om het te reproduceren. Zo kunnen wij snel een inschatting maken van de mogelijke impact.
• Laat uw telefoonnummer of e-mailadres achter. Zo kunnen wij, wanneer nodig, contact opnemen met u.
• Wij nemen scanrapporten zonder een (impactvolle) kwetsbaarheid of omschreven stappenplan niet in behandeling. 

Wat moet u niet doen:

• Exploiteren van de beveiligingslek meer dan uiterlijk nodig is om het bestaan aan te tonen. Misbruik zal leiden tot aangifte.
• Malware plaatsen.
• Alternatieve toegangsmogelijkheden maken.
• Gelekte inloggegevens gebruiken om toegang te krijgen tot onze systemen.
• Publicaties maken of delen van informatie betreffende de kwetsbaarheid totdat het lek is hersteld. 

Wat kunt u van ons verwachten? Zodra wij uw mail hebben ontvangen, en deze voldoet aan de bovenstaande eisen, zullen we binnen vijf werkdagen contact met u opnemen om afspraken te maken over een redelijke herstelperiode en een eventueel gecoördineerde publicatie van het beveiligingslek. 

* Deze richtlijnen zijn opgesteld op basis van de Leidraad Coordinated Vulnerability Disclosure, ontwikkeld door het Nationaal Cyber Security Centrum, onderdeel van het Ministerie van Veiligheid en Justitie.

English

On this page you will find information on how to report a Coordinated Vulnerability Disclosure (CVD). We would like to thank you for taking the time to report a vulnerability.

What you should do:

• Report the vulnerability to us as soon as possible by email. Our contact details can be found on our security.txt page.
• Provide sufficient information about the vulnerability. Please include a clear description of the issue (including IP addresses, logs, screenshots, etc.) and the steps required to reproduce it. This enables us to quickly assess the potential impact.
• Provide your telephone number or email address so that we can contact you if necessary.
• Scan reports that do not describe an (impactful) vulnerability or do not include reproduction steps will not be reviewed.

What you should not do:

• Exploit the security vulnerability beyond what is strictly necessary to demonstrate its existence. Abuse will result in legal action.
• Install malware.
• Create alternative access methods or backdoors.
• Use leaked credentials to gain access to our systems.
• Publish or share information about the vulnerability until it has been fully resolved.

What can you expect from us? Once we have received your report and it meets the above requirements, we will contact you within five working days to agree on a reasonable remediation period and, where applicable, a coordinated public disclosure of the vulnerability.