Nõrkuste avalikustamise poliitika

Euroopa Komisjonis peame oma side- ja infosüsteemide turvalisust peamiseks prioriteediks kooskõlas komisjoni otsusega (EL) 2017/46.

Vaatamata parimatele jõupingutustele ei saa nõrkusi kunagi täielikult kõrvaldada. Kui nõrkused avastatakse ja need ära kasutatakse, seab see ohtu Euroopa Komisjoni süsteemide ja neis töödeldava teabe konfidentsiaalsuse, terviklikkuse või kättesaadavuse.

Nõrkuste avalikustamise poliitikas kirjeldatakse, millised süsteemid ja testide liigid on lubatud ning kuidas saata nõrkusi käsitlevaid aruandeid. Kutsume teid üles võtma meiega ühendust, et teatada meie süsteemide võimalikest turbeprobleemidest, järgides seda poliitikat.

Kui tegutsete heas usus, et teha kindlaks nõrkused Euroopa Komisjoni süsteemides ja neist teatada, järgides seda poliitikat, teeme teiega koostööd, et probleeme mõista ja need kiiresti lahendada.
Euroopa Komisjon ei võta õiguslikke meetmeid, mis on seotud teie tegevusega meie süsteemide nõrkuste tuvastamisel, kui järgite selle poliitika suuniseid.

Seda poliitikat kohaldatakse kõigi Euroopa Komisjoni internetiga seotud süsteemide suhtes, mis on muu hulgas järgmised:

• kogu Euroopa Komisjoni veebikeskkond;
  • *.ec.europa.eu/*;
  • *.commission.europa.eu/*;
• avalikud IPd, mida reklaamitakse ASN 42848 all, ja lisatud teenused;
• mis tahes muu Euroopa Komisjoni avaldatud tarkvara.

Kõik teenused, mida ei ole eespool sõnaselgelt loetletud, on kohaldamisalast välja jäetud ja nende puhul ei ole lubatud testimist teha.
Lisaks jäetakse kohaldamisalast välja müüjate süsteemides leitud nõrkused. Neist tuleks teatada otse müüjale vastavalt tema enda avalikustamispoliitikale (kui see on asjakohane).

Oma tegevuses on hädavajalik, et

• te ei kasutaks ära avastatud nõrkust või probleemi, näiteks laadides alla rohkem andmeid, kui on vaja nõrkuse tõendamiseks, kustutades või muutes teiste inimeste andmeid;
• kasutaksite üksnes ohutuid meetodeid nõrkuste olemasolu kinnitamiseks;
• te ei avaldaks nõrkuste avastamise käigus allalaaditud andmeid üldsusele ega muudele osapooltele;
• te ei avalikustaks nõrkust või probleemi üldsusele ega muudele osapooltele enne, kui see on lahendatud;
• lõpetaksite testid, kui avastate tundlikku teavet (isikuandmed – meditsiini-, finants-, ärisaladusena käsitlev teave või ärisaladused) ning teavitaksite meid neist viivitamata ega avaldaks hangitud andmeid kellelegi teisele.

Ärge sooritage järgmisi toiminguid:

• pahavara (viirus, ussviirus, Trooja hobused jne) paigutamine mis tahes süsteemi;
• süsteemide ohtu seadmine, kasutades avastatud nõrkusi täieliku või osalise kontrolli saavutamiseks;
• andmete kopeerimine, muutmine või kustutamine süsteemist;
• muudatuste tegemine süsteemis;
• süsteemile korduv juurdepääs või juurdepääsu jagamine üldsuse või muude osapooltega;
• mis tahes saadud juurdepääsu kasutamine selleks, et proovida juurde pääseda juurde muudele süsteemidele;
• muude kasutajate juurdepääsuõiguste muutmine;
• automatiseeritud skaneerimisvahendite kasutamine;
• nn jõuründe kasutamine mis tahes süsteemidele juurdepääsuks;
• kasutada teenusetõkestust või sotsiaalset manipulatsiooni (andmepüük, telefonkalastus, rämpspost jne);
• rünnete kasutamine füüsilise julgeoleku vastu.

Milliseid toiminguid teilt ootame?

Kui olete nõrkuse kindlaks teinud, siis palun

• saatke palun oma leiud võimalikult kiiresti e-posti aadressil EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), täpsustades, kas olete nõus oma nime või varjunime avalikustamisega probleemi avastajana;
• krüpteerige oma leiud, kasutades PGP-võtit, et vältida kriitilise teabe sattumist valedesse kätesse;
• andke meile piisavalt teavet probleemi taasesitamiseks, et saaksime selle võimalikult kiiresti lahendada. Tavaliselt piisab mõjutatud süsteemi IP-aadressist või URList ja nõrkuse kirjeldusest, kuid keerukamad nõrkused võivad vajada täiendavat selgitust tehnilise teabe või võimaliku kontseptsiooni tõendamise koodi vormis;
• esitage oma aruanne eelistatavalt inglise keeles või mõnes muus Euroopa Liidu ametlikus keeles.

Mida võite meilt oodata?

Kui olete nõrkusest teatanud, lubame võtta järgmisi meetmeid:

• vastata teie aruandele kolme (3) tööpäeva jooksul (koos hinnanguga);
• käsitleda teie aruannet rangelt konfidentsiaalsena;
• teavitada teid (võimaluse korral) sellest, kui nõrkus on kõrvaldatud;
• töödelda esitatud isikuandmeid (nt teie e-posti aadress ja nimi) kooskõlas kohaldatavate andmekaitsealaste õigusaktidega ning mitte edastada teie isikuandmeid kolmandatele isikutele ilma teie loata;
• avaldada teie nime probleemi avastajana, kui olete sellega nõus oma algses e-kirjas, kui avaldame probleemi avalikult.