Spelregels voor ons

Wat we doen…

Als iemand een incident (kwetsbaarheid/infectie/andere zaak) in meerdere systemen bij ons meld, dan zullen we deze valideren. Na validatie zullen we kijken welke netwerkbeheerder(s) bij de getroffen IP adressen horen en aan deze partijen een melding sturen. Deze melding bevat een omschrijving van het incident (eventueel via een blog post) en de getroffen IP adressen in het netwerk.
Iedereen mag zich bij ons melden met het verzoek geen notificaties te ontvangen.
We proberen zo nauwkeuring mogelijk te werken bij het vaststellen of systemen kwetsbaar zijn en bij Nederland horen. We kunnen echter geen 100% accuratesse garanderen.
We kunnen publiceren over de ernst van bepaalde kwetsbaarheden en het totaal aantal door ons geïdentificeerde kwetsbare systemen.

Het meldpunt is geen “internet politie”. Dat wil zeggen dat we de melding slechts doorgeven aan de operators.
We houden geen statistieken bij over hoe specifieke beheerders onze meldingen opvolgen en zullen hierover ook niet publiceren.
Het meldpunt publiceert niet over kwetsbaarheden tenzij deze informatie reeds elders publiek beschikbaar is.
Wij benaderen geen particulieren.

Het Security Meldpunt is niet bedoeld voor het melden van kwetsbaarheden in één of enkele systemen.
Zorg voor een betrouwbare en verifieerbare lijst, eventueel met een proof of concept.
Do no harm: zorg dat je test geen systemen beschadigen, persoonsgegevens downloaden en backdoors installeren.
Meldingen die gaan over social engineering, brute force of DDoS aanvallen worden niet in behandeling genomen.
Zorg dat je (voor ons) bereikbaar bent voor vragen, bij voorkeur kennen we ook je (pseudo)identiteit aangezien wij willen instaan voor onze melders.

If someone reports an incident (vulnerability / infection / other case) to us in multiple systems, we will validate it. After validation, we will check which network administrator(s) belongs to the affected IP addresses and send a notification to these parties. This report will contain a description of the incident (this could be via a blog post) and the affected IP addresses in the network.
Anyone can report to us with the request not to receive notifications.
We aim to work as accurately as possible to determine if systems are vulnerable and are part of “The Netherlands”. We cannot guarantee we will be 100% accurate.
We can publish about the nature of certain vulnerabilities and the total number of vulnerable IP addresses we have identified.

The Hotline is not an “internet police force”. We will only send the notification to the network operators.
We will not keep statistics about the follow-up of specific network operators, and we will never publish about this.
We will not approach individual users.

The Dutch Security Hotline does not handle vulnerabilities that’s affect a single or just a few systems.
Please make sure you have a reliable list, preferably with a proof of concept.
Do no harm: make sure your test/scanning does not damage systems, do not download personal identifiable information or installs backdoors.
Reports about social engineering attacks, brute force attacks or DDoS attacks will not be accepted.
Make sure you can be reached (by us) in case of questions. We would like to know your (pseudo)identity as we want to be able to vouch for you.