Beleid van Infrabel voor de gecoördineerde bekendmaking van kwetsbaarheden

Infrabel verbindt zich ertoe de beveiliging van haar netwerk- en informatiesystemen te waarborgen. Het is echter mogelijk dat, ondanks alle inspanningen die het hiervoor levert, een beveiligingsprobleem wordt ontdekt en dreigt te worden misbruikt. Infrabel heeft daarom gekozen voor een beleid betreffende de gecoördineerde bekendmaking van kwetsbaarheden. Dit beleid biedt externe deelnemers de mogelijkheid om, met goede bedoelingen, te zoeken naar eventuele kwetsbaarheden in de netwerk- en informatiesystemen van Infrabel en/of om informatie over een kwetsbaarheid die ze ontdekken door te geven aan Infrabel.

Beperkte toegang tot de netwerk- en informatiesystemen van Infrabel is enkel toegestaan aan personen die de beveiliging ervan willen verbeteren en Infrabel op de hoogte willen brengen (op het volgende adres vulnerabilitydisclosure@infrabel.be van bestaande kwetsbaarheden, waarbij de andere voorwaarden bepaald in dit beleid strikt moeten worden nageleefd.

Dit beleid heeft betrekking op kwetsbaarheden op het vlak van beveiliging die door derden kunnen worden misbruikt of die de goede werking van de volgende netwerk- en informatiesystemen van Infrabel kunnen verstoren:

• de website van Infrabel, namelijk infrabel.be
• de web- of mobiele toepassingen van Infrabel
• de netwerk- en informatiesystemen van Infrabel

Opzoekingen door de deelnemer op informatiesystemen die niet uitdrukkelijk in dit beleid zijn opgenomen, op systemen van derden andere dan Infrabel (zoals infrastructuren of Cloud-oplossingen) en handelingen van de deelnemer die niet in overeenstemming zijn met de hieronder beschreven voorwaarden, kunnen leiden tot gerechtelijke stappen tegen de deelnemer.

Kort samengevat verwacht Infrabel het volgende gedrag van de deelnemer (de deelnemer moet de gedetailleerde modaliteiten en verplichtingen van dit beleid ook zelf kunnen raadplegen):

• De deelnemer mag enkel zoeken naar kwetsbaarheden in de Infrabel-systemen die in dit beleid zijn vermeld.
• De deelnemer mag niet zoeken naar kwetsbaarheden in de systemen van derden buiten Infrabel (zoals infrastructuren of clouddiensten buiten Infrabel).
• De deelnemer deelt het bestaan van de kwetsbaarheid of informatie over deze kwetsbaarheid of gegevens op de computersystemen niet met derden, zelfs niet nadat het probleem is opgelost.
• De deelnemer maakt geen misbruik van de kwetsbaarheid, hij stelt enkel, met goede bedoelingen, de handelingen die nodig zijn om het beveiligingsprobleem aan Infrabel aan te tonen, en hij mag bijvoorbeeld i) gegevens en/of wachtwoorden niet kopiëren, wijzigen, verwijderen, downloaden van een computersysteem, ii) zich geen toegang verschaffen tot systemen indien dit niet nodig is om het beveiligingsprobleem aan te tonen, iii) derden geen toegang verlenen tot de systemen.
• De deelnemer mag ook niet:
• De parameters van een computersysteem wijzigen
• Een computersysteem permanent en onomkeerbaar wijzigen 
• Interfereren met de correcte werking van de systemen (bijv. automatische scans uitvoeren)
• Malware, virussen, wormen, Trojaanse paarden, enz installeren 
• DOS- of DDOS-aanvallen (Denial of Service) lanceren 
• Social engineering-aanvallen uitvoeren 
• Phishing-aanvallen lanceren 
• Spam-aanvallen lanceren (spamming) 
• Wachtwoorden stelen of brute wachtwoordaanvallen uitvoeren (brute force) 
• De fysieke beveiliging van de installaties omzeilen of aanvallen
• communicatie die niet toegankelijk is voor het publiek of elektronische communicatie opzettelijk onderscheppen, opnemen of er kennis van nemen, of apparaten installeren die deze handelingen mogelijk maken
• de inhoud van niet voor het publiek toegankelijke communicatie of gegevens van een computersysteem opzettelijk gebruiken, bewaren, onthullen, gebruiken of openbaar maken 
• De deelnemer brengt Infrabel zo snel mogelijk op de hoogte van het beveiligingsprobleem dat hij ontdekt heeft, en doet dit uitsluitend op het volgende adres vulnerabilitydisclosure@infrabel.be via het beveiligde kanaal dat Infrabel hiervoor ter beschikking stelt.
• Nadat hij het probleem aan Infrabel heeft gemeld, verwijdert de deelnemer alle gegevens die tijdens de kwetsbaarheidsscan werden verkregen.
• Bij twijfel over de toepassing van dit beleid dient de deelnemer contact op te nemen met Infrabel op het volgende adres: vulnerabilitydisclosure@infrabel.be en haar voorafgaand schriftelijk akkoord te vragen alvorens enige actie te ondernemen.

Proportionaliteit

De deelnemer verbindt er zich toe om in al zijn handelingen de beschikbaarheid van de door het systeem geleverde diensten niet te verstoren en geen gebruik te maken van de kwetsbaarheid buiten wat strikt noodzakelijk is om het beveiligingsprobleem aan Infrabel aan te tonen. De deelnemer verbindt zich ertoe enkel de informatie te verzamelen die nodig is om Infrabel op de hoogte te brengen van het ontdekte beveiligingsprobleem.

Zo maakt de deelnemer geen misbruik van de kwetsbaarheid: hij stelt enkel, met goede bedoelingen, de handelingen die nodig zijn om het beveiligingsprobleem aan Infrabel aan te tonen, en hij mag bijvoorbeeld niet i) gegevens en/of wachtwoorden kopiëren, wijzigen, verwijderen, downloaden van een computersysteem, ii) zich toegang verschaffen tot systemen indien dit niet nodig is om het beveiligingsprobleem aan te tonen, iii) derden toegang verlenen tot systemen.

Het doel van dit beleid is niet om de opzettelijke verwerving van kennis van de inhoud van computergegevens, communicatiegegevens of persoonsgegevens toe te staan, en dergelijke kennis zou alleen incidenteel kunnen worden verworven in het kader van de handelingen die men stelt om naar kwetsbaarheden op zoek te gaan. In dat geval mag de deelnemer dergelijke gegevens niet langer bewaren dan nodig en moeten alle door de deelnemer verzamelde gegevens onmiddellijk worden gewist.

Andere verboden acties

De deelnemer mag geen van de onderstaande acties ondernemen:

• Kopiëren, wijzigen of verwijderen van gegevens en/of wachtwoorden van een computersysteem
• De parameters van een computersysteem wijzigen
• Een computersysteem permanent en onomkeerbaar wijzigen 
• Interfereren met de correcte werking van de systemen (bijv. automatische scans uitvoeren)
• Malware, virussen, wormen, Trojaanse paarden, enz installeren 
• DOS- of DDOS-aanvallen (Denial of Service) lanceren
• Social engineering-aanvallen uitvoeren 
• Phishing-aanvallen lanceren 
• Spam-aanvallen lanceren (spamming) 
• Wachtwoorden stelen of brute wachtwoordaanvallen uitvoeren (brute force) 
• De fysieke beveiliging van de installaties omzeilen of aanvallen
• Een communicatie die niet toegankelijk is voor het publiek of een elektronische communicatie opzettelijk onderscheppen, opnemen of er kennis van nemen, of apparaten installeren die deze handelingen mogelijk maken
• de inhoud van niet voor het publiek toegankelijke communicatie of gegevens van een computersysteem opzettelijk gebruiken, bewaren, onthullen, gebruiken of openbaar maken. 

In het algemeen zal elke inbreuk aanleiding geven tot het indienen van een klacht door Infrabel.

Als de deelnemer de hulp van een derde nodig heeft om zijn of haar onderzoek uit te voeren, moet de deelnemer ervoor zorgen dat de derde dit beleid van tevoren heeft gelezen en, door zijn of haar hulp aan te bieden, ermee instemt zich aan de voorwaarden ervan te houden.

Vertrouwelijkheid

De deelnemer onthoudt zich ervan om informatie over het door hem ontdekte beveiligingsprobleem te delen, bekend te maken aan derden of te publiceren, ongeacht of hij Infrabel hier voor of nadien van op de hoogte heeft gebracht, ook nadat het ontdekte beveiligingsprobleem is opgelost.

Het is ook niet toegestaan om computergegevens, communicatiegegevens of persoonsgegevens te onthullen of bekend te maken aan derden.

Uitvoering te goeder trouw

Infrabel verbindt zich ertoe dit beleid te goeder trouw toe te passen en geen burgerlijke of strafrechtelijke gerechtelijke stappen te ondernemen tegen een deelnemer die de voorwaarden ervan naleeft.

De deelnemer mag geen frauduleuze bedoelingen hebben, de intentie niet hebben om schade te berokkenen, de wens niet hebben om het bezochte systeem of de gegevens te gebruiken of te beschadigen.

Bij twijfel over sommige van de voorwaarden van dit beleid moet de deelnemer contact opnemen met Infrabel op het volgend adres vulnerabilitydisclosure@infrabel.be en het voorafgaand schriftelijk akkoord van Infrabel vragen alvorens enige actie te ondernemen.

Verwerking van persoonsgegevens

Het doel van een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden is niet om opzettelijk persoonsgegevens te verwerken, maar het is mogelijk dat de deelnemer persoonsgegevens moet verwerken (bijvoorbeeld een e-mailadres, identificatienummer, online identificatiecode, IP-adres of locatiegegevens), ook al is dit incidenteel, als onderdeel van zijn onderzoek naar kwetsbaarheden.

Indien dergelijke gegevens worden verwerkt, verbindt de deelnemer zich ertoe te voldoen aan de wettelijke verplichtingen met betrekking tot de bescherming van persoonsgegevens[1] en de voorwaarden van dit beleid, in het bijzonder:

• De deelnemer verbindt zich ertoe persoonsgegevens uitsluitend te verwerken met het oog op het zoeken naar kwetsbaarheden in de netwerk- en informatiesystemen van Infrabel die door dit beleid beoogd worden. Persoonsgegevens mogen niet voor andere doeleinden worden verwerkt.
• De deelnemer verbindt zich ertoe de verwerking van persoonsgegevens te beperken tot wat noodzakelijk is voor het doel van het zoeken naar kwetsbaarheden.
• De deelnemer past passende technische en organisatorische maatregelen toe om een beveiligingsniveau te garanderen dat in verhouding staat tot het risico (bijvoorbeeld versleuteling).
• De deelnemer verbindt zich ertoe Infrabel (op volgend adres: vulnerabilitydisclosure@infrabel.be) zo snel mogelijk op de hoogte te brengen van elke eventuele inbreuk [2] in verband met persoonsgegevens.
• De deelnemer mag de verwerkte persoonsgegevens niet langer bewaren dan nodig is. Gedurende deze periode moet de deelnemer ervoor zorgen dat deze gegevens worden opgeslagen met een passend beveiligingsniveau in functie van de risico's die men loopt (bij voorkeur versleuteld). Zodra de inbreuk op de beveiliging aan Infrabel werd gemeld, zoals bepaald in dit beleid, moeten deze gegevens onmiddellijk en definitief worden gewist.

Deelnemers mogen samenwerken met een derde partij die hen helpen zoeken naar kwetsbaarheden. De deelnemer moet ervoor zorgen dat deze derde partij dit beleid van tevoren heeft gelezen en ermee instemt, door zijn of haar hulp aan te bieden, zich te houden aan de voorwaarden ervan, waaronder vertrouwelijkheid en de implementatie van passende beveiligingsmaatregelen. De deelnemer erkent dat hij volledig aansprakelijk blijft ten opzichte van Infrabel indien de door hem ingeschakelde derde zijn verplichtingen inzake vertrouwelijkheid en gegevensbescherming niet nakomt. 

---------------------

[1]Verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG Algemene Verordening Gegevensbescherming).

[2] Een "inbreuk in verband met persoonsgegevens" is een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging of niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens. 

Aanspreekpunt

Je moet de ontdekte informatie uitsluitend naar het volgende e-mailadres sturen:

vulnerabilitydisclosure@infrabel.be

Gelieve daarbij de volgende veilige communicatiemiddelen te gebruiken:

Pretty Good Privacy (PGP) met de volgende Key ID 

Te verzenden informatie

Stuur ons zo snel mogelijk na de ontdekking van het beveiligingsprobleem informatie over uw waarnemingen.

Gelieve voldoende informatie te verstrekken zodat Infrabel het probleem kan reproduceren en zo snel mogelijk kan oplossen. Gelieve ons ten minste de volgende relevante informatie te verstrekken:

• Naam
• Voornaam
• E-mailadres / Telefoonnummer
• Beschrijving van de kwetsbaarheid
• Type kwetsbaarheid
• Details van de configuratie
• Besturingssysteem
• Uitgevoerde operaties (logboeken)
• Gebruikte tools
• Data en uren van de tests
• IP-adres of URL van het aangetaste systeem
• Indien persoonsgegevens worden verwerkt: soorten toegankelijke persoonsgegevens / categorieën betrokkenen / gegevensverwerking uitgevoerd door de deelnemer -
• Alle andere relevante informatie/Bijlagen (screenshots)

Gelieve de informatie in het Frans, Nederlands of Engels over te maken

Ontdekking

Wanneer een deelnemer informatie ontdekt met betrekking tot een mogelijke kwetsbaarheid, moet hij, voor zover mogelijk, vooraf controles uitvoeren om het bestaan van de kwetsbaarheid te bevestigen en eventuele risico's te identificeren.

Melding

De deelnemer verbindt zich ertoe Infrabel (uitsluitend op het volgende adres) zo snel mogelijk op de hoogte te brengen van technische informatie over eventuele kwetsbaarheden: vulnerabilitydisclosure@infrabel.be). De deelnemer moet hiervoor de door Infrabel aangeduide beveiligde communicatiemiddelen gebruiken.

Bij ontvangst van een melding verbindt Infrabel zich ertoe de deelnemer zo snel mogelijk een ontvangstbevestiging en de volgende stappen van de procedure te sturen.

Communicatie

Infrabel en de deelnemer verbinden zich ertoe alles in het werk te stellen om een permanente en efficiënte communicatie te verzekeren. De informatie die de deelnemer verstrekt, kan heel nuttig zijn bij het identificeren van de kwetsbaarheid en het vinden van een oplossing.

Onderzoek

De onderzoeksfase stelt Infrabel in staat om de gemelde omgeving en het gemelde gedrag te reproduceren om de meegedeelde informatie te verifiëren.

Infrabel verbindt zich ertoe de deelnemer regelmatig op de hoogte te houden van de onderzoeksresultaten en het gevolg dat aan zijn melding wordt gegeven.

Tijdens dit proces zorgen Infrabel en de deelnemer ervoor dat de link wordt gelegd met gelijkaardige of verwante meldingen, beoordelen ze het risico en de ernst van de kwetsbaarheid en bepalen ze of eventuele andere systemen mogelijk getroffen werden.

Een oplossing ontwikkelen

Het doel van dit beleid is om de ontwikkeling van een oplossing mogelijk te maken om de kwetsbaarheid van het informatiesysteem te elimineren voordat er schade wordt veroorzaakt.

Rekening houdend met de stand van de kennis, de uitvoeringskosten, de ernst van de risico's en de technische beperkingen, zal Infrabel proberen om uiterlijk binnen 90 kalenderdagen een oplossing uit te werken.

Mogelijke bekendmaking

Infrabel beslist, na de deelnemer op de hoogte te hebben gebracht, hoe het het bestaan van de kwetsbaarheid eventueel bekendmaakt. Deze openbare bekendmaking moet op zijn vroegst gelijktijdig met de implementatie van een oplossing en de verspreiding van een beveiligingsmededeling aan gebruikers moeten plaatsvinden.

In het geval van een kwetsbaarheid die ook andere organisaties treft zal Infrabel in elk geval het Centrum voor Cybersecurity België op de hoogte brengen, zelfs indien het niet wenst dat de kwetsbaarheid publiek wordt gemaakt.

Alle geschillen die voortvloeien uit de toepassing van dit beleid worden beheerst door het Belgisch recht.

De regels in het beleid zijn van toepassing vanaf 2 mei 2024 tot het moment dat ze door Infrabel worden gewijzigd of ingetrokken. Deze wijzigingen of schrappingen worden gepubliceerd op de website van Infrabel en zijn automatisch van toepassing 30 dagen na publicatie.