Pāriet uz galveno saturu
Eiropas Komisijas logotips
lvlv

Neaizsargātības ziņošanas kārtība

Ievads

Komunikācijas un informācijas sistēmu drošība Eiropas Komisijā ir viena no galvenajām prioritātēm – saskaņā ar Komisijas Lēmumu (ES) 2017/46.

Tomēr, neraugoties uz pieliktajām pūlēm, neaizsargātību nekad nevar pilnībā novērst. Ja šāda neaizsargātība tiek identificēta un izmantota, Eiropas Komisijas sistēmu un tajās apstrādātās informācijas konfidencialitāte, integritāte vai pieejamība ir apdraudēta.

Šajā sakarā mēs izklāstām, kādi testi un metodes ir atļautas un kā var tikt nosūtīti ziņojumi par neaizsargātību. Lūdzam jūs darīt mums zināmas potenciālas mūsu sistēmu drošības problēmas, un šajā sakarā rīkoties šādi.

Atļauja

Ja par mūsu sistēmu problemātiskajiem punktiem ziņosiet godprātīgi un tā, kā izklāstīts šajā paziņojumā, mēs sadarbosimies ar jums, lai ātri izprastu un atrisinātu problēmu.
Kamēr vien ievērosiet zemāk aprakstītās pamatnostādnes, Eiropas Komisija saistībā ar jūsu darbībām nolūkā atklāt vājās vietas mūsu sistēmās neveiks nekādus tiesiskus pasākumus.

Tvērums

Šis paziņojums attiecas uz visām Eiropas Komisijas ar internetu saistītajām sistēmām, tostarp šādām:

  • Eiropas Komisijas klātbūtne internetā
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • publiskās IP adreses, kas reklamētas saskaņā ar ASN 42848 un saistītas ar to pakalpojumiem
  • jebkura cita programmatūra, ko publicējusi Eiropas Komisija

Visi pakalpojumi, kas nav skaidri uzskaitīti šajā sarakstā, ir izslēgti no darbības jomas. Testi tādā gadījumā un nav atļauti.
Tāpat no darbības jomas ir izslēgtas arī piegādātāju sistēmās konstatētās neaizsargātības, un par tām ir jāziņo tieši piegādātājam saskaņā ar viņu politiku attiecībā uz informācijas atklāšanu (attiecīgā gadījumā).

Pamatnostādnes

Tas mums ir svarīgi

  • Neizmantojiet jūsu konstatētās neaizsargātības vai problēmas, piemēram, lejupielādējot vairāk datu, nekā nepieciešams, lai pierādītu neaizsargātību, dzēšot vai grozot datus.
  • Gādājiet, lai netiktu nodarīts nekāds kaitējums, kad veicat testus neaizsargātības apstiprināšanai.
  • Gādājiet, lai dati, kurus savu darbību laikā esat lejupielādējuši, nebūtu pieejami plašai sabiedrībai vai trešām personām.
  • Neinformējiet sabiedrību vai trešās personas par neaizsargātībām vai problēmām, kamēr tās nav atrisinātas.
  • Pārtrauciet savus testus, kad atklājat sensitīvu informāciju (personiski identificējamu informāciju, kā medicīniski vai finansiāli dati, tiesiski aizsargāta informācija vai komercnoslēpumi), nekavējoties informējiet mūs un neatklājiet nekādus iegūtos datus citām personām.

Jūs nedrīkstat veikt šādas darbības:

  • Instalēt ļaunprogrammatūru (vīrusu, tārpu, Trojas zirgu utt.) mūsu sistēmās
  • Apdraudēt kādas sistēmas, izmantojot līdzekļus, lai iegūtu pilnīgu vai daļēju kontroli
  • Kopēt, pārveidot vai dzēst datus no mūsu sistēmām
  • Veikt izmaiņas mūsu sistēmās
  • Atkārtoti piekļūt mūsu sistēmām vai nodrošināt piekļuvi citiem
  • Izmantot iegūto piekļuvi, lai mēģinātu piekļūt citām sistēmām
  • Mainīt citu lietotāju piekļuves tiesības
  • Izmantot automatizētus skenēšanas rīkus
  • Izmantot pārlases uzbrukumu (brute force), lai piekļūtu sistēmām
  • Izmantot pakalpojuma atteikumu vai sociālo inženieriju (pikšķerēšana, višings, surogātpasts u. c.)
  • Izmantot uzbrukumus fiziskajai drošībai

Neaizsargātības paziņošana

Jūs mums varat palīdzēt šādi

Ja esat konstatējis neaizsargātību:

  • Cik ātri vien iespējams, informējiet mūs par saviem konstatējumiem, nosūtot e-pasta vēstuli uz šādu adresi EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), kā arī norādot, vai piekrītat, ka jūsu vārds vai pseidonīms tiek darīts publiski pieejams kā problēmas atklājēja vārds.
  • Šifrējiet savus konstatējumus, izmantojot mūsu PGP atslēgu, lai novērstu šīs svarīgās informācijas nonākšanu nepareizajās rokās.
  • Sniedziet mums pietiekamu informāciju par to, kā mēs varam reproducēt problēmu, lai mēs varētu to atrisināt pēc iespējas drīz. Parasti pietiek ar skartās sistēmas IP adresi vai URL un neaizsargātības aprakstu. Tomēr sarežģītu problēmu gadījumā var būt nepieciešams sīkāks skaidrojums ar tehnisko informāciju vai atbilstošu koncepcijas pierādījuma kodu (proof-of-concept code).
  • Ziņojumu, vēlams, sniedziet angļu valodā vai jebkurā citā Eiropas Savienības oficiālajā valodā.

Ko jūs varat sagaidīt no mums

Tad, ja jūs mums paziņosiet par kādu neaizsargātību, mēs apsolām:

  • atbildēt uz jūsu ziņojumu triju (3) darba dienu laikā un darīt jums zināmumu mūsu novērtējumu;
  • apstrādāt jūsu ziņojumu stingri konfidenciāli;
  • ja iespējams, informēt, kolīdz neaizsargātība ir novērsta;
  • apstrādāt jūsu sniegtos personas datus (kā e-pasta adrese un vārds) saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem un bez jūsu atļaujas nenodot jūsu personas datus trešām personām;
  • gadījumā, ja mēs publiskosim problēmu, publicēt jūsu kā problēmas atklājēja vārdu, ja būsiet tam piekritis savā sākotnējā e-pasta vēstulē.