Glavni sadržaj
Logotip Europske komisije
hrhr

Politika otkrivanja ranjivosti

Uvod

Za Europsku komisiju sigurnost naših komunikacijskih i informacijskih sustava jedan je od glavnih prioriteta u skladu s Odlukom Komisije (EU, Euratom) 2017/46.

Međutim, slabe točke ne mogu se potpuno ukloniti uza sav trud. Iskorištavanje utvrđenih ranjivosti ugrožava povjerljivost, cjelovitost ili dostupnost sustava Europske komisije i informacija koje se u njima obrađuju.

U toj se politici otkrivanja ranjivosti opisuje koji su sustavi i vrste testova odobreni te kako slati izvješća o ranjivostima. Potičemo vas da nam javite sigurnosne probleme koji bi mogli nastati u našim sustavima budemo li slijedili tu politiku.

Odobrenje

Ako u dobroj vjeri nastojite utvrditi i prijaviti ranjivosti u sustavima Europske komisije, surađivat ćemo s vama u skladu s tom politikom kako bismo te probleme razumjeli i brzo riješili.
Europska komisija neće poduzimati pravne mjere povezane s vašim aktivnostima utvrđivanja ranjivosti u našim sustavima sve dok slijedite smjernice iz ove politike.

Područje primjene

Ta se politika primjenjuje na sve internetske sustave Europske komisije, uključujući:

  • sve internetske stranice Europske komisije
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • javne IP adrese oglašene pod ASN 42848 i povezane usluge
  • bilo koji drugi softver koji je objavila Europska komisija.

Sve usluge koje nisu izričito navedene isključene su iz područja primjene i njihovo testiranje nije odobreno.
Ranjivosti koje su u sustavima utvrdili dobavljači također su isključene iz područja primjene i trebalo bi ih prijaviti izravno prodavatelju u skladu s njegovom politikom otkrivanja (ako je primjenjivo).

Smjernice

Pri obavljanju svojih aktivnosti od ključne je važnosti:

  • da ne iskorištavate ranjivost ili problem koji ste otkrili, na primjer preuzimanjem više podataka nego što je potrebno za dokazivanje te ranjivosti, brisanjem ili izmjenom podataka drugih osoba
  • da prisutnost ranjivosti potvrdite isključivo bezopasnim radnjama
  • da ne otkrivate nikakve podatke preuzete tijekom otkrivanja javnosti ili bilo kojoj drugoj strani
  • da ne otkrivate ranjivost ili problem javnosti ili drugim stranama dok se ne riješi
  • da prekinete testiranje čim otkrijete osjetljive informacije (osobne identifikacijske informacije – PII, medicinske, financijske, zaštićene informacije ili poslovne tajne), odmah nas obavijestite i nikome ne otkrivate dobivene podatke.

Nemojte činiti sljedeće:

  • unijeti zlonamjerni softver (virus, crv, trojanski konj itd.) ni u koji sustav
  • ugroziti nijedan sustav koji iskorištavanja ranjivost kako biste ostvarili potpunu ili djelomičnu kontrolu
  • kopirati, mijenjati ili brisati podatke iz sustava
  • unositi promjene u sustav
  • opetovano pristupati sustavu ili dijeliti pristup s javnim drugim stranama
  • koristiti se bilo kojim ostvarenim pristupom kako biste pokušali pristupiti drugim sustavima
  • mijenjati prava pristupa drugih korisnika
  • koristiti se alatima za automatizirano skeniranje
  • koristiti se napadima uzastopnim pokušavanjem kako biste pristupili bilo kojem sustavu
  • koristiti se uskraćivanjem usluge ili socijalnim inženjeringom (phishing, vishing, neželjena pošta itd.)
  • napadati fizičku sigurnost.

Prijavljivanje ranjivosti

Što bismo htjeli od vas

Ako utvrdite ranjivost:

  • što prije pošaljite svoje nalaze na EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) i navedite slažete li se s time da se vaše ime ili pseudonim objave kao ime ili pseudonim osobe koja je otkrila problem
  • šifrirajte svoje nalaze s pomoću našeg PGP ključa kako biste spriječili da te važne informacije dospiju u krive ruke
  • navedite dovoljno informacija kako bismo mogli reproducirati problem i što prije ga riješiti. Obično će biti dovoljna IP adresa ili URL zahvaćenog sustava i opis ranjivosti, ali za složene ranjivosti moglo bi biti nužno dodatno objašnjenje u smislu tehničkih informacija ili mogućeg koda za provjeru koncepta
  • po mogućnosti dostavite svoje izvješće na engleskom jeziku ili na bilo kojem drugom službenom jeziku Europske unije.

Što možete očekivati od nas

Ako nam prijavite ranjivost, zauzvrat obećavamo:

  • da ćemo na vaše izvješće odgovoriti u roku od tri (3) radna dana tako da vam dostavimo svoju evaluaciju izvješća
  • da ćemo s vašim izvješćem strogo povjerljivo postupati
  • da ćemo vas obavijestiti o otklanjanju ranjivosti bude li to moguće
  • da ćemo osobne podatke koje navedete (kao što su adresa e-pošte i ime) obrađivati u skladu s primjenjivim zakonodavstvom o zaštiti podataka i da ih nećemo prenositi trećim stranama bez vašeg dopuštenja
  • da ćemo vaše ime objaviti kao ime osobe koja je otkrila problem, ako ste na to pristali u svojoj početnoj e-poruci, kad i ako problem otkrijemo javnosti.