Meldpunt digitale kwetsbaarheden

Bij a.s.r. vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in een van onze systemen signaleert, vernemen wij dit graag direct. Dan kunnen we zo snel mogelijk maatregelen treffen.
Zo verbeteren wij samen de veiligheid en betrouwbaarheid van onze systemen. Meld een mogelijk zwakke plek via ons centrale meldpunt.

Dit meldpunt is geen uitnodiging om actief zwakke plekken te ontdekken. a.s.r. monitort haar eigen bedrijfsnetwerk zelf actief op beveiligings-incidenten. Het Computer Emergency Response Team (CERT) is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen bij beveiligingsincidenten en het voorkomen van beveiligingsincidenten.

Waarom we werken we aan onze digitale weerbaarheid toon

Bijna dagelijks verbeteren we de kwaliteit en veiligheid van onze online dienstverlening, zodat onze klant- en bedrijfsgegevens beschermd worden tegen misbruik. Ook zorgen we daarmee dat de veiligheid en beschikbaarheid van onze dienstverlening gewaarborgd blijft. Ondanks alle zorg en inzet kunnen situaties ontstaan waarin sprake is van een zwakke plek in onze beveiliging.
Dit kunt u doen toon
Mocht u toch kwetsbaarheden aantreffen, dan kunt u deze melden. We vernemen graag zo snel mogelijk van u. Voorbeelden van kwetsbaarheden die u kunt melden, zijn:
- Cross-Site Scripting (XSS) kwetsbaarheden
- SQL injectie kwetsbaarheden
- Zwakheden in inrichting beveiligde verbinding
- Remote Code execution
- Cross Site Request Forgery (CSRF) kwetsbaarheden
- Kwetsbaarheden met betrekking tot encryptie
- Ongeautoriseerde toegang tot gegevens
Zorg dat u tijdens het onderzoeken van de gevonden kwetsbaarheid de programmatuur in stand houdt en geen wijzigingen aanbrengt. Door wijzigingen bestaat namelijk de kans op fouten en daarmee schade aan onze dienstverlening. In geen geval mag uw onderzoek:
- tot onderbreking van onze dienstverlening leiden
- tot de situatie leiden dat a.s.r.-gegevens zonder toestemming openbaar worden gemaakt
Wie kan melding maken? toon

Iedereen die een mogelijke zwakte in de online dienstverlening en/of achterliggende informatiesystemen van a.s.r ontdekt, kan een melding maken.
Zo maakt u een melding toon
Heeft u een kwetsbaarheid gevonden, neem dan zo snel mogelijk contact met via ons centrale meldpunt loket veilig internetten. Versleutel uw bevindingen met onze PGP key (fingerprint ) om te voorkomen dat de informatie in verkeerde handen valt.
Wij zorgen dat u binnen de tijdslijnen van onze procedures een reactie krijgt. Voorwaarde is dat u een geldig en werkend e-mail adres gebruikt bij het opvoeren van de melding. Per kwetsbaarheid wordt één melding geaccepteerd (de eerste melder).
Beschrijf het gevonden probleem zo concreet en specifiek mogelijk:
- de stappen die u ondernam
- de volledige URL en/of IP adres
- wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)
- het risico, de gevolgen en/of de mogelijkheid tot uitvoering
Wij kunnen alleen meldingen behandelen die in het Nederlands en Engels worden doorgegeven. Het aanbieden van een oplossing wordt aangemoedigd.
Wat doen wij met uw melding? toon

Een team van (veiligheids)experts onderzoekt uw melding en neemt zo snel mogelijk contact met u op. Wij proberen dit binnen vijf werkdagen te doen.
Maak het probleem niet openbaar, maar geef ons de tijd het probleem op te lossen. Wij laten u weten wat we van uw melding vinden, of en welke oplossing we gaan toepassen en wanneer we dat doen. We vragen u verder het probleem niet met anderen te delen en alle mogelijke gegevens die zijn verkregen via de gevonden kwetsbaarheid direct te verwijderen.
U vindt een kwetsbaarheid en dan? toon
Het is niet mogelijk om bij voorbaat juridische stappen tegen melders uit te sluiten. We achten onszelf moreel verplicht om aangifte te doen op het moment dat we het vermoeden hebben dat de zwakke plek of kwetsbaarheid misbruikt wordt, of dat u kennis over de zwakke plek met anderen heeft gedeeld. Volgt u daarom de regels zoals hieronder opgenomen en handel daarnaast niet op onevenredige wijze:
- Maak geen gebruik van aanvallen op de fysieke beveiliging, social engineering, (distributed) denial of service, malware en/of spam.
- Maak geen gebruik van de kwetsbaarheid. Kopieer, wijzig of verwijder geen enkel gegeven van het systeem. Ook mag u geen gegevens downloaden (opslaan). veranderen, toevoegen, verwijderen en/of publiceren zonder toestemming van a.s.r.
- Scan ons infrastructuur niet (actief) om zwakke plekken te ontdekken. Wij monitoren ons bedrijfsnetwerk zelf. De kans is groot dat een scan wordt opgepikt door a.s.r. en dat er dooronze CERT onderzoek wordt gedaan naar de herkomst van deze scan en er mogelijk onnodige kosten worden gemaakt.
- Breng geen systeemveranderingen aan, zoals bijvoorbeeld het plaatsen van backdoors om vervolgens daarmee de kwetsbaarheid aan te tonen. Door het aanbrengen van wijzigen kunt u aanvullende schade aanrichten en/of onnodige veiligheidsrisico’s laten ontstaan
- Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen.
- Gebruik geen zogeheten ‘bruteforce’ om toegang tot systemen te verkrijgen. Dan is immers geen sprake van een kwetsbaarheid, maar van het herhaaldelijk proberen van inloggen en/of het raden van wachtwoorden.
Wat niet melden toon
Het meldpunt digitale kwetsbaarheden is niet bedoeld voor:
- Het indienen van vragen of klachten over de dienstverlening en/of website(s) van a.s.r. Gebruik hiervoor ons klachtenformulier of neem contact met ons op.
- Het doen van fraudemeldingen en/of vermoedens van fraude. Is er (vermoedelijk) sprake van fraude? Meld dit dan direct bij de afdeling veiligheidszaken.
- Het melden van nep (phishing) e-mails of virussen. Heb je een e-mail van a.s.r. ontvangen die je niet vertrouwt? Maak dan een nieuwe e-mail met het niet-vertrouwde bericht als bijlage en stuur die naar valse-email@asr.nl
- Het melden van mogelijke datalekken. Heb je het vermoeden dat er sprake is van een datalek? Je kunt dit bij ons melden door een e-mail te sturen naar Meldpunt incidenten en datalekken.
Uw privacy toon

Voor het verloop vragen wij u contactgegevens te verstrekken (tenzij u anoniem een melding heeft gedaan). Wij geven uw identiteit niet zonder uw instemming aan derden vrij en gebruiken uw gegevens niet voor andere doeleinden dan om een passende opvolging te geven aan uw melding. Een uitzondering doet zich voor als daartoe bevoegde autoriteiten bij ons informatie vorderen. Hieraan wordt gevolg gegeven zonder uw voorafgaande toestemming.