Postup při zveřejňování informací o zranitelnostech

Bezpečnost komunikačních a informačních systémů Evropské komise je naší prioritou, a to v souladu s rozhodnutím Komise (EU) 2017/46.

Navzdory maximálnímu úsilí však nelze zranitelnost nikdy zcela vyloučit. Pokud jsou slabá místa identifikována a zneužita, ohrožuje to důvěrnost, integritu nebo dostupnost systémů Evropské komise a informací v nich zpracovávaných.

Níže je popsáno, jaké systémy a typy testů jsou povoleny a jak zasílat zprávy o zjištěné zranitelnosti. Vyzýváme vás proto, abyste nás na základě tohoto postupu kontaktovali a informovali o možných bezpečnostních problémech v našich systémech.

Pokud jednáte v dobré víře, abyste při dodržování tohoto postupu identifikovali a oznámili slabá místa v systémech Evropské komise, budeme s vámi spolupracovat na rychlém vyřešení zjištěných problémů.
Evropská komise nebude podnikat žádné právní kroky v souvislosti s vaší činností, která spočívá v identifikaci slabých míst v našich systémech, pokud se budete řídit těmito pokyny.

Tento postup se vztahuje na všechny internetové systémy Evropské komise, včetně:

• všech webových stránek Evropské komise
  • *.ec.europa.eu/*
  • *.commission.europa.eu/*
• veřejných IP adres inzerovaných pod ASN 42848 a souvisejících služeb
• jakéhokoli jiného softwaru zveřejněného Evropskou komisí

Všechny služby, které nejsou výslovně uvedeny výše, jsou z oblasti působnosti vyloučeny a testování na nich není povoleno.
Kromě toho jsou z oblasti působnosti vyloučeny také zranitelnosti zjištěné v systémech prodejců, které by měly být hlášeny přímo prodejcům, a to v souladu s jejich politikou zveřejňování (je-li to relevantní).

Při výkonu vaší činnosti je naprosto nezbytné, abyste:

• nezneužili zranitelnost nebo problém, které jste odhalili, například stažením více dat, než je nezbytné nutné k prokázání zranitelnosti, vymazáním nebo pozměněním údajů jiných osob
• použili pouze neškodné zneužívání k potvrzení toho, že zranitelnost existuje
• nezveřejnili žádná data, která jste během testu stáhli, na veřejnosti ani žádné jiné straně
• neodhalili zranitelnost nebo problém na veřejnosti ani jiným stranám, dokud nebudou vyřešeny
• ukončili testování, když objevíte jakékoli citlivé informace (informace o totožnosti – lékařské, finanční, chráněné informace nebo obchodní tajemství), okamžitě nám to oznámili a nesdělovali žádné získané údaje nikomu jinému

Neprovádějte tyto činnosti:

• neumísťujte do kteréhokoli systému malware (počítačový virus, červ, trojský kůň apod.)
• neohrožujte žádné systémy tím, že byste nad nimi získali plnou nebo částečnou kontrolu
• nekopírujte, neupravujte ani nemažte data ze systému
• neprovádějte změny v systému
• nevstupujte opakovaně do systému ani tento přístup nesdílejte s veřejností či jinými stranami
• nesnažte se využít získaný přístup k pokusu o přístup do jiných systémů
• neměňte přístupová práva ostatních uživatelů
• nepoužívejte automatizované skenovací nástroje
• nepoužívejte útok hrubou silou k získání přístupu do jakéhokoli systému
• nepoužívejte útok odmítnutím služby nebo sociální inženýrství (phishing, vishing, spam apod.)
• nepoužívejte útoky na fyzickou bezpečnost

Co od vás očekáváme

Pokud jste odhalili zranitelnost:

• co nejdříve zašlete svá zjištění e-mailem na adresu EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) a uveďte, zda souhlasíte s tím, aby vaše jméno nebo přezdívka byly zveřejněny jako objevitele problému
• zašifrujte svá zjištění pomocí našeho klíče PGP, aby se tyto kritické informace nedostaly do nesprávných rukou
• poskytněte nám dostatek informací, abychom mohli problém reprodukovat a co nejrychleji jej vyřešit (Obvykle bude postačovat IP adresa nebo adresa URL dotčeného systému a popis zranitelnosti, ale složité problémy mohou vyžadovat další vysvětlení, pokud jde o technické informace nebo potenciální kód ověření koncepce.)
• napište svou zprávu pokud možno v angličtině, nebo v jakémkoli jiném úředním jazyce Evropské unie

Co můžete očekávat od nás

Pokud nám zranitelnost nahlásíte, můžeme vám na oplátku slíbit následující:

• odpovíme vám do tří pracovních dnů a zašleme vám vyhodnocení vaší zprávy
• budeme nakládat s vaší zprávou přísně důvěrně
• pokud to bude možné, budeme vás informovat o tom, že zranitelnost byla odstraněna
• budeme zpracovávat osobní údaje, které nám poskytnete (např. vaší e-mailovou adresu a jméno), v souladu s platnými právními předpisy o ochraně údajů a bez vašeho souhlasu je nebude předávat třetím stranám
• zveřejníme vaše jméno jako objevitele problému, pokud s tím budete ve svém původním e-mailu souhlasit a pokud problém vůbec zveřejníme