Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden
1 Inleiding
1.1 Doelstelling
De bekendmaking van kwetsbaarheden is het proces voor het opsporen van kwetsbaarheden. Het bekendmaken van kwetsbaarheden is onderworpen aan onderhavig beleid, d.w.z. het bekendmaken van kwetsbaarheden nadat Brussels Airport Company heeft samengewerkt met een cybersecurity-onderzoeker om een patch te ontwikkelen op basis van de bevindingen van de cybersecurity-onderzoeker met betrekking tot een kwetsbaarheid in de omgeving van Brussels Airport Company. Dit beleid wil de cybersecurity-onderzoeker een kader bieden om kwetsbaarheden te melden aan Brussels Airport Company. Door middel van dit beleid wil Brussels Airport Company:
het rapportageproces voor kwetsbaarheden vereenvoudigen;
zijn inzet voor informatiebeveiliging en gegevensbescherming aantonen;
het vertrouwen van stakeholders en klanten versterken;
een reeks regels opstellen die cybersecurity-onderzoekers en ethische hackers moeten volgen bij het testen van zijn diensten en digitale infrastructuur.
Dit beleid is van toepassing op elke cybersecurity-onderzoeker, in dit document ‘onderzoeker’ genoemd, die een kwetsbaarheid rapporteert.
Aan de hand van dit beleid voor de gecoördineerde bekendmaking van kwetsbaarheden geeft Brussels Airport Company aan dat het bereid is om samen te werken met externe partners om zijn beveiliging te verbeteren en biedt het onderzoekers een kader om kwetsbaarheden te melden.
De voorwaarden in dit beleid zijn enkel van toepassing op personen die de intentie hebben om de beveiliging van Brussels Airport te verbeteren, ons te informeren over bestaande kwetsbaarheden en te handelen in strikte overeenstemming met de andere voorwaarden in dit document.
1.2 Toepassingsgebied
Onderdelen die met het internet te maken hebben (zoals, maar niet beperkt tot, websites, mobiele applicaties of API’s) die onder het proces voor de bekendmaking van kwetsbaarheden vallen, zijn websites die verbonden zijn aan het domein brusselsairport.be. Dit beleid is van toepassing op alle websites en subdomeinen waar het wordt gepubliceerd. Systemen die afhankelijk zijn van een derde partij vallen niet onder dit beleid. De gecoördineerde bekendmaking van kwetsbaarheden van de derde partij is in dat geval van toepassing. Als de cybersecurity-onderzoeker zich echter bewust wordt dat de derde partij geen beleid heeft dat van toepassing is op het melden van kwetsbaarheden, moedigt Brussels Airport Company de cybersecurity-onderzoeker aan om contact op te nemen. Brussels Airport Company zal de cybersecurity-onderzoeker dan helpen om de derde partij te bereiken om bij te dragen aan zijn maatschappelijke plicht om de aanpak met betrekking tot cybersecurity van onze industrie te verbeteren.
Als u vragen hebt over de reikwijdte van dit beleid, neem dan contact op met het Cyber Security-team vulnerabilities@ictsecurity.brusselsairport.be.
2 Wederzijdse verplichtingen van de partijen
2.1 Wettelijk kader
Onderzoekers moeten te allen tijde voldoen aan de wet van 18 oktober 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen (NIS2-wet), en in het bijzonder aan de artikelen 30 tot en met 38 van die wet. In dat opzicht moeten onderzoekers de onderstaande voorwaarden in acht nemen en naleven:
De onderzoeker moet handelen zonder frauduleuze bedoelingen of de intentie om schade te berokkenen.
De onderzoeker beschikt over de nodige expertise en ervaring om de systemen, apparatuur en producten van onze organisatie veilig en in overeenstemming met de toepasselijke wet- en regelgeving te testen.
De onderzoeker moet BAC onmiddellijk informeren zodra hij een mogelijke kwetsbaarheid opmerkt.
De onderzoeker mag niet verder gaan dan wat noodzakelijk en redelijk is om het bestaan van een kwetsbaarheid te bevestigen.
De onderzoeker zal nooit overgaan tot de gehele of gedeeltelijke bekendmaking om welke reden dan ook, zelfs niet om wetenschappelijke redenen (als eerste publiceren) of redenen van intellectuele eigendom (een dergelijke bekendmaking zal de onderzoeker uitsluiten en leiden tot zijn aansprakelijkheidsstelling).
De onderzoeker mag geen informatie over de opgespoorde kwetsbaarheid vrijgeven zonder toestemming van Brussels Airport Company.
Onderzoekers erkennen en aanvaarden dat elke andere mogelijke aansprakelijkheid die voortvloeit uit handelingen of nalatigheden die niet noodzakelijk zijn voor de meldingsprocedure waarnaar wordt verwezen in artikel 62/1 van de NIS-wet en die niet voldoen aan de voorwaarden van artikel 62/2, §1 van de NIS-wet (zoals hierboven samengevat) onderworpen blijft aan de toepasselijke wetgeving, met inbegrip van het strafrechtelijk misdrijf van hacking zoals bepaald in artikel 550bis van het Belgisch Strafwetboek.
2.2 Evenredigheid
In aanvulling op het bovenstaande verbinden onderzoekers zich ertoe om bij al hun activiteiten het evenredigheidsbeginsel in acht te nemen door de beschikbaarheid van de betreffende diensten niet te verstoren en door kwetsbaarheden niet verder te exploiteren dan strikt noodzakelijk om het beveiligingsprobleem aan te tonen. Onderzoekers mogen in geen geval schade toebrengen aan de activiteiten van Brussels Airport Company. Hun aanpak moet proportioneel blijven: zodra de kwetsbaarheid op kleine schaal is aangetoond, mag de onderzoeker geen verdere actie ondernemen, tenzij Brussels Airport Company hem vraagt om zijn bevindingen onder de coördinatie van Brussels Airport Company en in een gecontroleerde omgeving verder te onderzoeken.
2.3 Acties die niet zijn toegelaten
Onderzoekers vinden hieronder een niet-uitputtende lijst van acties die als schadelijk, frauduleus of disproportioneel worden beschouwd en dus niet zijn toegelaten voor en na de privébekendmaking. Deze lijst is echter niet beperkt tot de beschreven acties en geeft slechts een overzicht van enkele van de belangrijkste verboden acties.
gegevens kopiëren, wijzigen of verwijderen uit het ICT-systeem;
de instellingen van het ICT-systeem wijzigen;
malware installeren, zoals virussen, computerwormen, Trojaanse paarden enz.;
DDOS-aanvallen (Distributed Denial of Service) uitvoeren;
social-engineeringaanvallen uitvoeren;
phishingsimulaties uitvoeren;
spammen;
wachtwoorden stelen of brute-forceaanvallen uitvoeren op wachtwoorden;
een apparaat installeren voor het onderscheppen, opslaan of ophalen van (elektronische) communicatie die niet toegankelijk is voor het algemene publiek;
(elektronische) communicatie die niet openbaar toegankelijk is opzettelijk onderscheppen, opslaan of ontvangen;
het opzettelijk gebruiken, onderhouden, verzenden of verspreiden van de inhoud van niet-openbare communicatie of gegevens van een ICT-systeem waarvan de deelnemer had moeten weten dat ze op onrechtmatige wijze was verkregen.
Als een onderzoeker een van de handelingen uitvoert die hierboven worden beschreven, zal dat aanleiding geven tot burgerlijke en strafrechtelijke aansprakelijkheid.
In het algemeen moet de onderzoeker ook voorkomen dat de kwetsbaarheid wordt misbruikt, zelfs als proof of concept.
2.4 Vertrouwelijkheid
Onder geen beding mogen onderzoekers enige informatie verzameld in het kader van dit beleid bekendmaken of overmaken aan een derde partij zonder de voorafgaande en uitdrukkelijke toestemming van Brussels Airport Company, onverminderd enige verplichte uitzondering onder de toepasselijke wetgeving.
Het is ook niet toegestaan om zonder toestemming van Brussels Airport Company ICT-gegevens, communicatiegegevens of persoonsgegevens bekend te maken of over te maken aan derden, noch om gevonden kwetsbaarheden publiekelijk bekend te maken, onverminderd enige verplichte uitzondering onder de toepasselijke wetgeving.
Als onderzoekers de hulp van een derde inroepen om hun test uit te voeren, moeten ze ervoor zorgen dat de derde vooraf op de hoogte is van dit beleid en ermee instemt om wanneer hij hulp biedt zich te houden aan de voorwaarden van dit beleid, inclusief de vertrouwelijkheid.
2.5 Safe-harbourclausule
Brussels Airport Company zal geen gerechtelijke of strafrechtelijke stappen ondernemen tegen een onderzoeker die deze voorwaarden strikt naleeft en die Brussels Airport Company geen opzettelijke schade heeft toegebracht. De onderzoeker mag geen frauduleuze activiteiten aangaan, niet de intentie hebben om schade te berokkenen en niet de wens hebben om het bezochte systeem of de gegevens ervan te misbruiken of te beschadigen.
Als onderzoekers onzeker zijn over de voorwaarden van ons beleid, moeten ze in eerste instantie contact opnemen via e-mail (vulnerabilities@ictsecurity.brusselsairport.be) en handelen in overeenstemming met het schriftelijke antwoord dat ze ontvangen. Het uitblijven van een antwoord van vulnerabilities@ictsecurity.brusselsairport.be betekent niet dat de onderzoeker stilzwijgend toelating krijgt voor elke vraag die in de betreffende e-mails wordt gesteld.
2.6 Verwerking van persoonsgegevens
Een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden is niet bedoeld om primair en doelbewust persoonsgegevens te verwerken. Tenzij dit noodzakelijk is om het bestaan van kwetsbaarheden aan te tonen, mogen onderzoekers geen persoonsgegevens raadplegen, opvragen of opslaan.
Onderzoekers kunnen echter onbedoeld toegang krijgen tot persoonsgegevens die zijn opgeslagen, verwerkt of verzonden in het betreffende ICT-systeem. Ook kan het nodig zijn dat een onderzoeker tijdelijk persoonsgegevens raadpleegt, opvraagt of gebruikt in het kader van een kwetsbaarheidsonderzoek. In dat geval moeten onderzoekers Brussels Airport Company onmiddellijk op de hoogte brengen via vulnerabilities@ictsecurity.brusselsairport.be
Onderzoekers moeten wanneer ze persoonsgegevens verwerken voldoen aan de wettelijke verplichtingen met betrekking tot de bescherming van persoonsgegevens en aan de relevante elementen in dit beleid.
Persoonsgegevens verwerken voor andere doeleinden dan kwetsbaarheden opsporen in de systemen, apparatuur of producten van BAC is niet toegelaten. Onderzoekers verbinden zich ertoe de verwerking van persoonsgegevens te beperken tot wat noodzakelijk is voor het doel van kwetsbaarheidsscans.
Onderzoekers bewaren verwerkte persoonsgegevens niet langer dan noodzakelijk. Gedurende die periode zorgen onderzoekers ervoor dat de informatie wordt opgeslagen met een beschermingsniveau dat past bij de risico’s (d.w.z. versleuteld). Nadat de gegevens hun doel volgens dit beleid hebben gediend, moeten ze onmiddellijk en volledig worden gewist.
Tot slot moeten onderzoekers ons zo snel mogelijk na het ontdekken van verlies, wijziging, bekendmaking van of toegang tot persoonsgegevens hierover informeren.
3 Cybersecurityrapporten
3.1 Contactpunt
Onderzoekers kunnen hun ontdekkingen delen door de opgespoorde informatie te melden via het bug-bountyprogramma van BAC en de bevindingen in te dienen op het daarvoor bestemde platform. Dat platform maakt een gestructureerd meldingsproces mogelijk en biedt extra stimulansen voor onderzoekers.
Als onderzoekers niet in staat zijn om het standaardplatform te gebruiken, kan ontdekte informatie worden gedeeld via het volgende e-mailadres :vulnerabilities@ictsecurity.brusselsairport.be
3.2 Inhoud
De melding van de onderzoeker aan Brussels Airport Company moet volledig en onafhankelijk zijn. Ze mag niet cryptisch zijn of de aard van de kwetsbaarheid slechts gedeeltelijk onthullen om zo een element van chantage aan de melding te geven.
De bekendmaking mag niet voorwaardelijk zijn.
De bekendmaking mag geen bedreigingen of eisen bevatten om geldelijke beloningen te ontvangen voor het onderzoek (Brussels Airport Company sluit geldelijke beloningen echter niet uit).
De bekendmaking moet alle elementen bevatten opdat Brussels Airport de ontdekking van de kwetsbaarheid kan reproduceren.
In ruil daarvoor verbindt Brussels Airport Company zich ertoe de onderzoeker het volledige auteurschap/eigendom van de bekendmaking te verschaffen en bij te dragen tot de wetenschappelijke reputatie van de onderzoeker, tenzij die in het verleden een negatieve houding of negatief gedrag heeft vertoond.
Dit beleid voor de gecoördineerde bekendmaking van kwetsbaarheden zal niet dienen om de onderzoeker te rehabiliteren als die daar behoefte aan heeft.