Polityka dotycząca wykrywania luk w zabezpieczeniach

Dla Komisji Europejskiej bezpieczeństwo jej systemów teleinformatycznych to ścisły priorytet. Stanowi o tym decyzja Komisji (WE) 2017/46.

Jednak nawet mimo usilnych starań nie da się w pełni wyeliminować luk w zabezpieczeniach. Wykrycie i wykorzystanie przez kogoś słabych punktów w systemach teleinformatycznych Komisji Europejskiej to zagrożenie dla poufności, integralności lub dostępności danych oraz dla samych tych systemów.

W tej informacji na temat polityki dotyczącej wykrywania luk w zabezpieczeniach opisano systemy, na których można przeprowadzać testy, oraz typy dozwolonych testów. Określono również to, jak należy przesyłać raport w sprawie luk w zabezpieczeniach. Zachęcamy do zgłaszania potencjalnych zagrożeń dla bezpieczeństwa w systemach Komisji z zachowaniem opisanych tu zasad.

Jeżeli działasz w dobrej wierze, mając na celu wykrycie i zgłoszenie luk w zabezpieczeniach systemów Komisji Europejskiej, i działasz przy tym zgodnie z wytycznymi tej polityki, jesteśmy gotowi do współpracy, aby zrozumieć zgłoszone problemy i szybko je rozwiązać.
Komisja Europejska nie będzie podejmować przeciwko Tobie działań prawnych w związku z działaniami polegającymi na wykrywaniu luk w zabezpieczeniach, jeżeli przestrzegasz opisanych tu wytycznych.

Nasza polityka ma zastosowanie do wszystkich systemów internetowych Komisji Europejskiej, w tym do:

• wszystkich stron internetowych Komisji Europejskiej
  • *.ec.europa.eu/*
  • *.commission.europa.eu/*
• publicznych adresów IP pod numerem AS 42848 oraz powiązanych usług
• wszelkiego oprogramowania udostępnianego przez Komisję Europejską.

Wszelkie usługi, których nie wymieniono wprost powyżej, znajdują się poza zakresem polityki i nie zezwala się na ich testowanie.
Ponadto z zakresu polityki wyłączone są również luki znalezione w systemach dostawców zewnętrznych. Takie luki należy zgłaszać dostawcom bezpośrednio, zgodnie z polityką dotyczącą wykrywania luk w zabezpieczeniach danego dostawcy (jeżeli taka istnieje).

O czym musisz pamiętać, testując systemy Komisji

• Nie możesz wykorzystać znalezionej luki lub problemu, np. przez pobranie danych w ilości większej, niż jest to konieczne do udowodnienia, że luka istnieje, czy też przez usunięcie lub zmianę danych innych osób.
• Aby potwierdzić, że luka istnieje, możesz korzystać tylko z nieszkodliwych exploitów.
• Nie masz prawa ujawnić publicznie ani przekazać dowolnej stronie trzeciej jakichkolwiek danych pozyskanych w trakcie wykrywania luki.
• Nie możesz ujawnić publicznie ani przekazać stronom trzecim informacji o luce lub problemie, które nie zostały jeszcze rozwiązane.
• Musisz przerwać testy, gdy tylko odkryjesz informacje szczególnie chronione (PII – dane identyfikujące osobę, informacje medyczne, finansowe i zastrzeżone czy tajemnice handlowe). W takiej sytuacji musisz natychmiast skontaktować się z nami. Nie masz prawa udostępniać nikomu tak pozyskanych danych.

Jakie działania są zabronione

• umieszczanie złośliwego oprogramowania (wirus, robak komputerowy, koń trojański itp.) w dowolnym systemie
• wykorzystanie luk w dowolnym systemie za pomocą exploitów, by zyskać nad nim całkowitą lub częściową kontrolę
• kopiowanie, zmiana lub usunięcie danych z systemu
• dokonywanie zmian w systemie
• wielokrotny dostęp do systemu, ujawnianie dostępu publicznie lub dzielenie się nim z innymi stronami
• wykorzystanie zdobytego dostępu, by uzyskać dostęp do innych systemów
• zmiana praw dostępu innych użytkowników
• użycie automatycznych narzędzi skanujących
• użycie ataku typu brute-force w celu uzyskania dostępu do dowolnego systemu
• przeprowadzenie ataku typu „odmowa usługi” (DoS) lub użycie inżynierii społecznej (phishing, vishing, spam itp.)
• przeprowadzenie ataku na bezpieczeństwo fizyczne.

Co zrobić, jeśli wykryjesz lukę

W przypadku wykrycia luki prosimy o:

• jak najszybsze przekazanie informacji o wykrytej luce na adres EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) z zaznaczeniem, czy zgadzasz się na podanie do wiadomości publicznej Twojego imienia, nazwiska lub pseudonimu jako osoby, która odkryła problem
• zaszyfrowanie wiadomości z użyciem klucza PGP, aby krytyczne informacje nie wpadły w niepowołane ręce
• podanie nam wystarczających informacji, byśmy mogli odtworzyć problem, a potem jak najszybciej go rozwiązać. W tym celu zazwyczaj wystarcza podanie adresu IP lub URL systemu oraz opis luki, jednak w przypadku złożonych problemów może być konieczne dłuższe wyjaśnienie i informacje techniczne lub ewentualnie proof of concept (PoC)
• wysłanie raportu najlepiej po angielsku lub w innym języku urzędowym Unii Europejskiej.

Co oferujemy w zamian

W zamian za zgłoszenie nam luki w zabezpieczeniach obiecujemy:

• odpowiedzieć na zgłoszenie w ciągu trzech (3) dni roboczych, dokonując własnej oceny zgłoszenia
• dochować pełnej poufności w kontekście zgłoszenia
• jeżeli to możliwe, powiadomić Cię o usunięciu luki w zabezpieczeniach
• przetwarzać przekazane przez Ciebie dane (takie jak adres e-mail oraz imię i nazwisko) zgodnie z obowiązującymi przepisami o ochronie danych i nie przekazywać danych osobowych stronom trzecim bez Twojej zgody
• gdy (i jeśli) informacja o luce stanie się ogólnodostępna, opublikować Twoje imię i nazwisko lub pseudonim jako osoby, która odkryła problem – jeżeli zgoda na to została zawarta w Twoim pierwszym mailu.