Gå direkt till innehållet
Europeiska kommissionens logotyp
svsv

Policy för information om sårbarheter

Bakgrund

Säkerheten i våra kommunikations- och informationssystem är en topprioritering för oss på EU-kommissionen, i enlighet med kommissionens beslut (EU, Euratom) 2017/46.

Trots våra ansträngningar går det ändå aldrig att helt bli av med sårbarheter. När sårbarheter i EU-kommissionens system upptäcks och utnyttjas äventyrar det konfidentialiteten, integriteten och tillgängligheten för systemen och de uppgifter som behandlas där.

I den här policyn för information om sårbarheter beskriver vi vilka system och typer av tester som är tillåtna och hur du kan skicka in sårbarhetsrapporter. Kontakta oss gärna för att rapportera potentiella säkerhetsproblem i våra system i enlighet med den här policyn.

Tillåtna åtgärder

Om du i god tro vidtar åtgärder i enlighet med den här policyn för att upptäcka sårbarheter i EU-kommissionens system och rapporterar dem till oss kommer vi att samarbeta med dig för att förstå och lösa problemen snabbt.
EU-kommissionen kommer inte att vidta rättsliga åtgärder mot det du gjort för att upptäcka sårbarheter i våra system så länge du följer riktlinjerna i den här policyn.

Vad gäller policyn?

Policyn gäller alla EU-kommissionens system som är åtkomliga på internet, dvs.

  • EU-kommissionens webbplatser
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • offentliga ip-adresser som utannonserats under ASN 42848 och tillhörande tjänster
  • all annan programvara som publicerats av EU-kommissionen.

Tjänster som inte uttryckligen anges ovan omfattas inte och får inte användas för testning.
Sårbarheter som upptäcks i leverantörers system omfattas inte heller och bör rapporteras direkt till leverantören i enlighet med dess egna eventuella sårbarhetspolicy.

Riktlinjer

Det är ytterst viktigt att du

  • inte utnyttjar sårbarheten eller problemet du har upptäckt, t.ex. genom att radera eller ändra andra personers uppgifter eller att ladda ner mer data än vad som krävs för att påvisa sårbarheten
  • inte orsakar skada för att bekräfta att det finns en sårbarhet
  • inte lämnar ut några uppgifter du laddade ner under upptäckten till allmänheten eller andra parter
  • inte avslöjar sårbarheten eller problemet för allmänheten eller andra parter förrän en lösning har hittats
  • upphör med testerna om du upptäcker känslig information (identitetsuppgifter, medicinska eller finansiella uppgifter, skyddad information eller företagshemligheter), omedelbart meddelar oss och inte lämnar ut några uppgifter du fått till någon annan.

Du får inte

  • placera sabotageprogram (virus, maskar, trojaner osv.) på något system
  • kompromettera system med hjälp av attacker för att få fullständig eller partiell kontroll
  • kopiera, ändra eller radera uppgifter från systemet
  • göra ändringar i systemet
  • ta dig in i systemet upprepade gånger eller dela åtkomsten med allmänheten eller andra parter
  • använda eventuell åtkomst du skaffat dig för att försöka ta dig in i andra system
  • ändra andra användares åtkomsträttigheter
  • använda automatiska skanningsverktyg
  • använda en uttömmande attack för att ta dig in i ett system
  • använda överbelastningsattacker eller social manipulering (nätfiske, vishing, spam osv.)
  • attackera den fysiska säkerheten.

Hur du rapporterar sårbarheter

Vad önskar vi av dig?

Har du upptäckt en sårbarhet?

  • Mejla dina iakttagelser så snart som möjligt till EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) och ange om du samtycker till att vi offentliggör att det var du som upptäckte problemet.
  • Kryptera dina resultat med hjälp av vår PGP-nyckel för att förhindra att kritisk information hamnar i fel händer.
  • Ge oss tillräckligt med information för att reproducera problemet så att vi kan lösa det så snabbt som möjligt. Vanligen räcker det med det berörda systemets ip-adress eller webbadress och en beskrivning av sårbarheten, men komplexa sårbarheter kan kräva ytterligare förklaringar i form av teknisk information eller eventuell koncepttestkod.
  • Rapportera helst på engelska, eller använd något annat av de officiella EU-språken.

Vad kan du förvänta dig av oss?

I gengäld lovar vi att när du rapporterar en sårbarhet till oss kommer vi att

  • svara inom tre arbetsdagar med vår utvärdering av rapporten
  • hantera din rapport med strikt sekretess
  • om möjligt meddela dig när sårbarheten har åtgärdats
  • behandla de personuppgifter som du lämnar (t.ex. mejladress och namn) i enlighet med gällande dataskyddslagstiftning och inte vidarebefordra dina personuppgifter till tredje part utan ditt tillstånd
  • offentliggöra att det var du som upptäckte problemet om och när vi gör information om problemet offentlig, om du samtyckte till det i ditt första mejl.