De gemeente Apeldoorn is een "digitale klokkenluidersregeling" gestart, waarbij onderzoekers en hackers die kwetsbaarheden in de systemen van de gemeente vinden een beloning van maximaal 300 euro kunnen krijgen. Het voorstel voor een responsible disclosure-beleid was vorig jaar al gedaan (pdf).
Sinds deze week is de regeling echter op de website van de gemeente verschenen. Daarin wordt een aantal voorwaarden genoemd waar de vinders van kwetsbaarheden aan moeten voldoen. Zo wordt er om voldoende informatie gevraagd om het probleem te reproduceren, moeten bugmeldingen het liefst versleuteld worden verstuurd om te voorkomen dat de informatie in verkeerde handen valt en worden advies en reclame over bepaalde beveiligingsproducten niet gewaardeerd.
Ook stelt het beleid verschillende handelingen die niet zijn toegestaan, zoals het achterlaten van malware, het gebruik van social engineering, het gebruik van brute force om toegang tot systemen te krijgen, het openbaar maken van kwetsbaarheden voordat ze zijn opgelost, het uitvoeren van DoS-aanvallen en het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is, zoals het kopiëren van vertrouwelijke gegevens. Als onderzoekers zich aan deze regels houden zal er geen strafrechtelijke aangifte volgen en wordt er ook geen civielrechtelijke zaak aangespannen.
De gemeente Apeldoorn zegt verder toe dat het gevonden problemen binnen 30 dagen zal oplossen en er in onderling overleg kan worden bepaald of en op welke wijze er over het probleem wordt gepubliceerd. Als laatst stelt de gemeente dat onderzoekers kunnen worden bedankt voor hun hulp. Afhankelijk van de ernst van het lek en de kwaliteit van de bugmelding kan de beloning tot maximaal 300 euro oplopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.