Μετάβαση στο κύριο περιεχόμενο
Λογότυπος της Ευρωπαϊκής Επιτροπής
elel

Πολιτική δημοσιοποίησης τρωτών σημείων

Εισαγωγή

Στην Ευρωπαϊκή Επιτροπή, η ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών αποτελεί ύψιστη προτεραιότητα, σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής.

Ωστόσο, τα τρωτά σημεία δεν μπορούν ποτέ να εξαλειφθούν πλήρως, παρά τις προσπάθειες που καταβάλλονται. Ο εντοπισμός και η εκμετάλλευσης τρωτών σημείων θέτει σε κίνδυνο την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των συστημάτων της Ευρωπαϊκής Επιτροπής καθώς και των πληροφοριών που υποβάλλονται σε επεξεργασία στα εν λόγω συστήματα.

Η παρούσα πολιτική δημοσιοποίησης τρωτών σημείων περιγράφει ποια συστήματα και είδη δοκιμών εγκρίνονται και τον τρόπο με τον οποίο αποστέλλονται οι αναφορές των τρωτών σημείων. Σας παροτρύνουμε να επικοινωνείτε μαζί μας για να αναφέρετε τυχόν ζητήματα ασφάλειας των συστημάτων μας ακολουθώντας την πολιτική αυτή.

Έγκριση

Εάν ενεργείτε καλόπιστα για τον εντοπισμό και την αναφορά τρωτών σημείων στα συστήματα της Ευρωπαϊκής Επιτροπής και συμμορφώνεστε με την πολιτική αυτή, θα συνεργαστούμε μαζί σας για να κατανοήσουμε και να επιλύσουμε γρήγορα τα ζητήματα.
Η Ευρωπαϊκή Επιτροπή δεν θα κινήσει νομικές διαδικασίες σχετικά με τις δραστηριότητες τις οποίες αναπτύξατε για τον εντοπισμό τρωτών σημείων στα συστήματά μας, υπό την προϋπόθεση ότι ακολουθείτε τις κατευθυντήριες γραμμές της παρούσας πολιτικής.

Πεδίο εφαρμογής

Η πολιτική αυτή εφαρμόζεται σε όλα τα συστήματα της Ευρωπαϊκής Επιτροπής που είναι προσβάσιμα από το διαδίκτυο, όπως, μεταξύ άλλων

  • η συνολική παρουσία της Ευρωπαϊκής Επιτροπής στο διαδίκτυο
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • δημόσια IP που διαφημίζονται στο πλαίσιο του ASN 42848 και συνημμένες υπηρεσίες
  • κάθε άλλο λογισμικό που δημοσιεύεται από την Ευρωπαϊκή Επιτροπή

Οι υπηρεσίες που δεν αναφέρονται ρητά ανωτέρω εξαιρούνται από το πεδίο εφαρμογής και δεν επιτρέπονται για δοκιμές.
Επιπλέον, τα τρωτά σημεία που εντοπίζονται σε συστήματα πωλητών εξαιρούνται επίσης από το πεδίο εφαρμογής και θα πρέπει να αναφέρονται απευθείας στον πωλητή σύμφωνα με τη δική του πολιτική δημοσιοποίησης (κατά περίπτωση).

Κατευθυντήριες γραμμές

Κατά την άσκηση των δραστηριοτήτων σας, είναι επιτακτική ανάγκη

  • να μην επωφελείστε από το τρωτό σημείο ή το πρόβλημα που έχετε ανακαλύψει, για παράδειγμα με την τηλεφόρτωση περισσότερων δεδομένων από όσα απαιτούνται για να καταδείξετε το τρωτό σημείο, με τη διαγραφή ή την τροποποίηση των δεδομένων άλλων προσώπων
  • να χρησιμοποιείτε μόνο ακίνδυνα προγράμματα εκμετάλλευσης για να επιβεβαιώσετε την ύπαρξη του τρωτού σημείου
  • να μην αποκαλύπτετε δεδομένα που τηλεφορτώθηκαν κατά τη διάρκεια της ανακάλυψης στο κοινό ή σε άλλα μέρη
  • να μην αποκαλύπτετε το τρωτό σημείο ή το πρόβλημα στο κοινό ή σε άλλα μέρη έως ότου επιλυθεί
  • να διακόπτετε τις δοκιμές σας όταν ανακαλύπτετε ευαίσθητες πληροφορίες (στοιχεία ταυτότητας, ιατρικές, χρηματοοικονομικές, αποκλειστικές πληροφορίες ή εμπορικά απόρρητα), να μας ενημερώνετε αμέσως και να μην αποκαλύπτετε σε κανέναν άλλο στοιχεία που αποκτήσατε

Μην εκτελείτε τις ακόλουθες ενέργειες

  • τοποθέτηση κακόβουλου λογισμικού (ιός, σκουλήκι, δούρειος ίππος κ.λπ.) σε οποιοδήποτε σύστημα
  • διακύβευση συστημάτων με τη χρήση προγραμμάτων εκμετάλλευσης για την απόκτηση πλήρους ή μερικού ελέγχου
  • αντιγραφή, τροποποίηση ή διαγραφή δεδομένων από το σύστημα
  • πραγματοποίηση αλλαγών στο σύστημα
  • κατ’ επανάληψη πρόσβαση στο σύστημα ή από κοινού πρόσβαση με άλλα μέρη
  • χρήση τυχόν πρόσβασης που αποκτήσατε για απόπειρα πρόσβασης σε άλλα συστήματα
  • αλλαγή των δικαιωμάτων πρόσβασης άλλων χρηστών
  • χρήση εργαλείων αυτόματης σάρωσης
  • χρήση της λεγόμενης επίθεσης «ωμής βίας» για πρόσβαση σε οποιαδήποτε συστήματα
  • επίθεση άρνησης παροχής υπηρεσίας ή κοινωνική μηχανική (ηλεκτρονικό «ψάρεμα», φωνητικό «ψάρεμα», ανεπιθύμητα μηνύματα κ.λπ.)
  • επιθέσεις κατά της φυσικής ασφάλειας

Αναφορά τρωτού σημείου

Τι θα θέλαμε να δούμε από εσάς

Εάν εντοπίσετε ένα τρωτό σημείο, παρακαλούμε

  • να στείλετε τα πορίσματά σας το συντομότερο δυνατόν στη διεύθυνση EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), διευκρινίζοντας αν συμφωνείτε ή όχι να δημοσιοποιηθεί το όνομά σας ή το ψευδώνυμό σας στο πλαίσιο της ανακάλυψης του προβλήματος
  • να κρυπτογραφήσετε τα πορίσματά σας χρησιμοποιώντας το κλειδί PGP για να μην περιέλθουν αυτές οι κρίσιμες πληροφορίες σε λάθος χέρια
  • να μας υποβάλετε επαρκείς πληροφορίες για την αναπαραγωγή του προβλήματος, ώστε να μπορέσουμε να το επιλύσουμε το συντομότερο δυνατόν. Συνήθως, η διεύθυνση IP ή η διεύθυνση URL του επηρεαζόμενου συστήματος και η περιγραφή του τρωτού σημείου είναι επαρκείς, αλλά τα σύνθετα τρωτά σημεία ενδέχεται να απαιτούν περαιτέρω εξηγήσεις όσον αφορά τις τεχνικές πληροφορίες ή τον πιθανό κωδικό απόδειξης της αρχικής ιδέας
  • να υποβάλετε την αναφορά σας κατά προτίμηση στα αγγλικά ή σε οποιαδήποτε άλλη επίσημη γλώσσα της Ευρωπαϊκής Ένωσης

Τι μπορείτε να αναμένετε από εμάς

Από τη μεριά μας, σας υποσχόμαστε τα ακόλουθα όταν μας αναφέρετε ένα τρωτό σημείο:

  • να απαντήσουμε στην αναφορά σας εντός τριών (3) εργάσιμων ημερών με αξιολόγηση της αναφοράς
  • να χειριστούμε την αναφορά σας με αυστηρή εμπιστευτικότητα
  • όπου είναι δυνατόν, να σας ενημερώσουμε όταν αποκατασταθεί το τρωτό σημείο
  • να επεξεργαστούμε τα δεδομένα προσωπικού χαρακτήρα που παρέχετε (όπως η ηλεκτρονική σας διεύθυνση και το όνομά σας) σύμφωνα με την ισχύουσα νομοθεσία για την προστασία των δεδομένων και να μην διαβιβάσουμε τα προσωπικά σας στοιχεία σε τρίτους χωρίς την άδειά σας
  • να δημοσιεύσουμε το όνομά σας, εάν έχετε δώσει σχετική συγκατάθεση στο αρχικό σας μήνυμα ηλεκτρονικού ταχυδρομείου, όταν και αν δημοσιοποιήσουμε το πρόβλημα