Preskoči na glavno vsebino

Politika razkrivanja ranljivosti

Uvod

V skladu s Sklepom Komisije (EU) 2017/46 je varnost komunikacijskih in informacijskih sistemov glavna prednostna naloga Evropske komisije.

Kljub vsem najboljšim prizadevanjem pa šibkih točk nikoli ni mogoče popolnoma odpraviti. Izkoriščanje ugotovljenih ranljivosti ogroža zaupnost, celovitost ali razpoložljivost sistemov Evropske komisije in obdelavo informacij.

Ta politika razkrivanja ranljivosti navaja, kateri sistemi in vrste testiranj so dovoljeni ter kako prijaviti primere ranljivosti. Prosimo vas, da upoštevate to politiko ter nas kontaktirate in sporočite morebitne varnostne težave, ki se morebiti pojavijo v naših sistemih.

Dovoljenje

Če boste ravnali v dobri veri in prepoznali ranljivost sistemov Evropske komisije ter jih prijavili, bomo v skladu s to politiko sodelovali z vami, da bi težave razumeli in jih kar najhitreje rešili.
Če boste upoštevali smernice te politike, Evropska komisija ne bo pravno ukrepala v zvezi z vašimi dejavnostmi ugotavljanja šibkih točk v naših sistemih.

Področje uporabe

Ta politika velja za vse internetne sisteme Evropske komisije, tudi za:

  • celotno spletno prisotnost Evropske komisije,
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • javne IP-naslove, oglaševane pod ASN 42848, in povezane storitve,
  • kakršno koli drugo programsko opremo, ki jo objavi Evropska komisija.

Vse storitve, ki niso izrecno navedene zgoraj, so izključene iz področja uporabe in njihovo testiranje ni dovoljeno.
Šibke točke, ki jih v sistemih odkrijejo dobavitelji, so prav tako izključene iz področja uporabe in jih je treba sporočiti neposredno prodajalcu v skladu z njegovo politiko razkrivanja informacij (po potrebi).

Smernice

Pri izvajanju svojih dejavnosti je pomembno naslednje:

  • da ne izkoriščate ranljivosti ali težave, ki ste jo odkrili, denimo s prenosom več podatkov, kot je potrebno za dokazovanje teh ranljivosti, brisanjem ali spreminjanjem podatkov drugih oseb,
  • da obstoj ranljivosti potrdite samo na neškodljiv način,
  • da javnosti ali kateri koli drugi strani ne razkrijete nobenih podatkov, ki ste jih prenesli pri odkritju ranljivosti,
  • da ne razkrivajo ranljivosti ali težave javnosti ali drugim stranem, dokler ta ni rešena,
  • da prekinete testiranje takoj, ko odkrijete kakršne koli občutljive informacije (podatki, ki omogočajo individualno prepoznavanje, zdravstvene in finančne informacije, podatki o lastništvu ali poslovne skrivnosti) in da nas o tem nemudoma obvestite, pridobljenih podatkov pa ne razkrijete nikomur drugemu.

Ne izvajajte naslednjih dejanj:

  • nameščanje zlonamerne programske opreme (virus, črv, trojanski konj itd.) v kateri koli sistem,
  • ogrožanje sistemov, ki uporabljajo izkoriščanje šibkih točk za pridobitev popolnega ali delnega nadzora,
  • kopiranje, spreminjanje ali brisanje podatkov iz sistema,
  • vnašanje sprememb v sistem,
  • večkratno dostopanje do sistema ali deljenje dostopa z javnostjo in drugimi strankami,
  • uporaba pridobljenega dostopa, da bi poskušali dostopati do drugih sistemov,
  • sprememba pravic dostopa drugih uporabnikov,
  • uporaba avtomatiziranih orodij za skeniranje,
  • uporaba tako imenovanega nenadnega napada „z vso silo“ za dostop do katerega koli sistema,
  • uporaba zavrnitve storitve ali socialnega inženiringa (phishing, vishing, neželena elektronska pošta itd.),
  • uporaba napadov na fizično varnost.

Prijavljanje ranljivosti

Kaj pričakujemo od vas

Če ugotovite ranljivost:

  • svoje ugotovitve čim prej pošljite na naslov EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) in navedite, ali se strinjate z objavo vašega imena ali psevdonima kot osebe, ki je odkrila težavo;
  • šifrirajte svoje ugotovitve z uporabo našega ključa PGP, da bi preprečili, da bi te pomembne informacije prišle v napačne roke;
  • posredujte nam dovolj informacij, da bi lahko težavo čim prej odpravili. Običajno zadostujeta naslov IP ali URL prizadetega sistema in opis ranljivosti, vendar je za kompleksne šibke točke morda potrebno dodatno pojasnilo v smislu tehničnih informacij ali morebitne kode za preverjanje koncepta;
  • poročilo po možnosti predložite v angleščini ali katerem koli drugem uradnem jeziku Evropske unije.

Kaj lahko pričakujete od nas

Če prijavite ranljivost, v zameno obljubljamo naslednje:

  • da bomo na vašo prijavo z oceno poročila odgovorili v treh (3) delovnih dneh,
  • da bomo vašo prijavo obravnavali strogo zaupno,
  • da vas bomo, če bo to le mogoče, obvestili o odpravi ranljivosti,
  • da bomo vaše navedene osebne podatke (npr. elektronski naslov in ime) obdelovali v skladu z veljavno zakonodajo na področju varstva podatkov in da vaših osebnih podatkov ne bomo posredovali tretjim osebam brez vašega dovoljenja,
  • da bomo objavili vaše ime kot ime osebe, ki je odkrila težavo, če ste se s tem strinjali v svojem prvotnem elektronskem sporočilu, kadar in če težavo javno razkrijemo.