Siirry pääsisältöön
Euroopan komission logo
fifi

Haavoittuvuuksien paljastamista koskevat periaatteet

Johdanto

Euroopan komissiossa tieto- ja viestintäteknisten järjestelmien tietoturva on äärimmäisen tärkeää ja perustuu komission päätökseen (EU) 2017/46.

Järjestelmien haavoittuvuuksia ei kuitenkaan koskaan voida täysin poistaa. Haavoittuvuuksien löytäminen ja hyväksikäyttö vaarantaa komission järjestelmien ja niissä käsiteltävien tietojen luottamuksellisuuden, koskemattomuuden ja saatavuuden.

Näissä haavoittuvuuksien paljastamista koskevissa periaatteissa kuvataan, mistä komission järjestelmistä on lupa etsiä haavoittuvuuksia, mitkä testityypit ovat sallittuja ja miten haavoittuvuusilmoituksia voi toimittaa. Kannustamme sinua ilmoittamaan komissiolle sen järjestelmien potentiaalisista tietoturvaongelmista näiden periaatteiden mukaisesti.

Lupa toimia

Jos toimit vilpittömässä mielessä, havaitset komission järjestelmissä haavoittuvuuksia ja ilmoitat niistä, pyrimme näiden periaatteiden mukaisesti kanssasi ymmärtämään ja ratkaisemaan ongelmat mahdollisimman pikaisesti.
Kun noudatat näitä periaatteita, komissio ei ryhdy sinua kohtaan oikeustoimiin, jotka liittyvät sen järjestelmien haavoittuvuuksien löytämiseen.

Luvan laajuus

Nämä periaatteet koskevat kaikkia internetiin liitettyjä Euroopan komission järjestelmiä, jotka ovat

  • Euroon komission verkkonäkyvyys kokonaisuudessaan
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • ASN 42848 -tunnuksen alaiset julkiset IP-osoitteet ja niihin liittyvät palvelut
  • muut Euroopan komission julkaisemat ohjelmistot.

Palvelut, joita ei nimenomaisesti ole lueteltu edellä, eivät kuulu luvan piiriin, eikä niille saa tehdä haavoittuvuustestejä.
Myöskään ulkopuolisten ohjelmisto- ja laitetoimittajien järjestelmien haavoittuvuudet eivät kuulu tämän luvan piiriin, vaan niistä olisi ilmoitettava suoraan kyseiselle ohjelmisto- tai laitetoimittajalle sen omien haavoittuvuuksien paljastamisperiaatteiden mukaisesti.

Periaatteet

On äärimmäisen tärkeää, että

  • et hyväksikäytä havaitsemaasi haavoittuvuutta tai ongelmaa esimerkiksi lataamalla järjestelmästä enemmän tietoa kuin on tarpeen haavoittuvuuden osoittamiseksi, tai poistamalla tai muuttamalla muiden henkilöiden tietoja
  • et käytä haittaa aiheuttavia menetelmiä varmistaessasi, että haavoittuvuus todella on olemassa
  • et julkista tai paljasta ulkopuolisille haavoittuvuuden löytämisen myötä saamiasi tietoja
  • et julkista tai paljasta ulkopuolisille haavoittuvuutta tai ongelmaa ennen kuin se on korjattu
  • keskeytät haavoittuvuustestauksen, jos havaitset arkaluonteisia tietoja (tiettyyn henkilöön liitettävissä olevia tietoja, terveystietoja, taloudellisia tietoja, omistusoikeuksin suojattuja tietoja tai liikesalaisuuksia), ilmoitat asiasta meille välittömästi, etkä paljasta saamiasi tietoja kenellekään muulle.

Seuraavat toimet ovat kiellettyjä:

  • haittaohjelman (virus, mato, troijalainen tms.) ujuttaminen järjestelmään
  • järjestelmän vaarantaminen kaappaamalla se haavoittuvuuden avulla kokonaan tai osittain
  • järjestelmän tietojen kopioiminen, muuttaminen tai poistaminen
  • muutosten tekeminen järjestelmään
  • toistuva tunkeutuminen järjestelmään tai tunkeutumismahdollisuuden julkistaminen tai paljastaminen ulkopuolisille
  • järjestelmään tunkeutumisen hyväksikäyttö muihin järjestelmiin pääsemiseksi
  • muiden käyttäjien käyttöoikeuksien muuttaminen
  • automaattisten skannausohjelmien käyttö
  • väsytyshyökkäykset (brute force -hyökkäykset) järjestelmään pääsemiseksi
  • palvelunestohyökkäykset ja käyttäjien manipulointi (verkkourkinta, soittopyyntöurkinta, roskapostit jne.)
  • fyysiseen koskemattomuuteen kohdistuvat hyökkäykset.

Haavoittuvuudesta ilmoittaminen

Mitä toivomme sinulta?

Jos olet havainnut haavoittuvuuden,

  • lähetä asiasta mahdollisimman pian sähköpostia osoitteeseen EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) ja ilmoita, suostutko siihen, että nimesi tai nimimerkkisi julkistetaan ongelman paljastajana
  • salaa viestisi PGP-avaimella, jotta tämä kriittinen tieto ei joudu vääriin käsiin
  • anna meille riittävästi tietoa ongelman reprodusoimiseksi, jotta se voidaan ratkaista mahdollisimman nopeasti; yleensä riittää kyseisen järjestelmän IP- tai URL-osoite ja kuvaus haavoittuvuudesta, mutta monimutkaiset haavoittuvuudet saattavat edellyttää lisäselvennyksiä teknisten tietojen tai potentiaalisen Proof of Concept -koodin muodossa
  • kirjoita ilmoituksesi mieluiten englanniksi, mutta myös mikä tahansa muu EU:n virallinen kieli käy.

Mitä voit odottaa meiltä?

Kun ilmoitat haavoittuvuudesta meille, lupaamme vastineeksi

  • vastata ilmoitukseesi ja esittää siitä arviomme kolmen arkipäivän kuluessa
  • käsitellä ilmoituksesi ehdottoman luottamuksellisesti
  • mahdollisuuksien mukaan ilmoittaa sinulle, kun haavoittuvuus on korjattu
  • käsitellä henkilötietojasi (kuten sähköpostiosoitettasi ja nimeäsi) tietosuojalainsäädännön mukaisesti ja olla luovuttamatta henkilötietojasi ulkopuolisille ilman lupaasi
  • julkaista nimesi ongelman löytäjänä, jos olet suostunut tähän alkuperäisessä sähköpostiviestissäsi, jos/kun paljastamme ongelman julkisesti.