Mur għall-kontenut ewlieni
Logo tal-Kummissjoni Ewropea
mtmt

Politika ta’ Divulgazzjoni dwar il-Vulnerabbiltà

Introduzzjoni

Fil-Kummissjoni Ewropea, is-sigurtà tas-Sistemi ta’ Komunikazzjoni u Informazzjoni tagħna hija prijorità ewlenija, f’konformità mad-Deċiżjoni tal-Kummissjoni KE 2017/46.

Madankollu, il-vulnerabbiltajiet qatt ma jistgħu jiġu eliminati kompletament, minkejja l-aħjar sforzi. Meta jiġu identifikati u sfruttati l-vulnerabbiltajiet, dan ipoġġi f’riskju l-kunfidenzjalità, l-integrità jew id-disponibbiltà tas-sistemi tal-Kummissjoni Ewropea u l-informazzjoni pproċessata fihom.

Din il-politika ta’ divulgazzjoni tal-vulnerabbiltajiet tiddeskrivi liema sistemi u tipi ta’ testijiet huma awtorizzati u kif għandhom jintbagħtu rapporti dwar il-vulnerabbiltà. Inħeġġuk tikkuntattjana biex tirrapporta problemi potenzjali ta’ sigurtà fis-sistemi tagħna billi ssegwi din il-politika.

Awtorizzazzjoni

Jekk qed taġixxi in bona fide biex tidentifika u tirrapporta l-vulnerabbiltajiet dwar is-sistemi tal-Kummissjoni Ewropea, filwaqt li tikkonforma ma’ din il-politika, se naħdmu miegħek biex nifhmu u nsolvu l-kwistjonijiet malajr.
Il-Kummissjoni Ewropea mhux se tieħu azzjoni legali relatata mal-attivitajiet tiegħek biex tidentifika vulnerabbiltajiet fis-sistemi tagħna sakemm issegwi l-linji gwida f’din il-politika.

Ambitu

Din il-politika tapplika għas-sistemi kollha li jiffaċċjaw l-internet mill-Kummissjoni Ewropea, inklużi

  • il-preżenza kollha tal-Kummissjoni Ewropea fuq il-web
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • IPs pubbliċi rreklamati taħt ASN 42848, u servizzi marbutin
  • kwalunkwe software ieħor ippubblikat mill-Kummissjoni Ewropea

Kwalunkwe servizz mhux elenkat b’mod espliċitu hawn fuq huwa eskluż mill-ambitu u mhuwiex awtorizzat għall-ittestjar.
Barra minn hekk, il-vulnerabbiltajiet li jinstabu fis-sistemi mingħand bejjiegħa huma esklużi wkoll mill-ambitu u jenħtieġ li jiġu rrapportati direttament lill-bejjiegħ skont il-politika ta’ divulgazzjoni tagħhom stess (jekk applikabbli).

Linji gwida

Waqt li tkun qed twettaq l-attivitajiet tiegħek, huwa imperattiv

  • li ma tiħux vantaġġ mill-vulnerabbiltà jew mill-problema li skoprejt, pereżempju, billi tiddawnlowdja aktar data milli meħtieġ biex turi l-vulnerabbiltà, tħassar, jew timmodifika d-data ta’ persuni oħra
  • li tuża biss sfruttamenti li ma jagħmlux ħsara biex jiġi kkonfermat li hemm vulnerabbiltà
  • li ma tiżvela l-ebda data mniżżla matul l-iskoperta lill-pubbliku jew lil kwalunkwe parti oħra
  • li ma tiżvelax il-vulnerabbiltà jew il-problema lill-pubbliku jew lil partijiet oħra sakemm ma tkunx ġiet solvuta
  • li twaqqaf it-testijiet tiegħek meta tiskopri kwalunkwe informazzjoni sensittiva (Informazzjoni Personalment Identifikabbli – PII, informazzjoni medika, finanzjarja, proprjetarja jew sigrieti kummerċjali) u tinnotifikana minnufih u ma tiżvela l-ebda data miksuba lil xi ħadd ieħor

Twettaqx l-azzjonijiet li ġejjin

  • tpoġġi l-malware (virus, worm, Trojan horse, eċċ.) fuq kwalunkwe sistema
  • tikkomprometti kwalunkwe sistema li tuża l-isfruttar biex tikseb kontroll sħiħ jew parzjali
  • tikkopja, timmodifika jew tħassar data mis-sistema
  • tagħmel bidliet fis-sistema
  • taċċessa s-sistema ripetutament jew taqsam l-aċċess mal-pubbliku partijiet l-oħra
  • tuża kwalunkwe aċċess miksub biex tipprova taċċessa sistemi oħra
  • tibdel id-drittijiet tal-aċċess ta’ utenti oħra
  • tuża għodod awtomatizzati tal-iskennjar
  • tuża l-hekk imsejjaħ attakk “brute force” biex taċċessa kwalunkwe sistema
  • tuża ċ-ċaħda tas-servizz jew tal-inġinerija soċjali (phishing, vishing, spam, eċċ.)
  • tuża attakki fuq is-sigurtà fiżika

Rapportar ta’ vulnerabbiltà

X’nixtiequ naraw mingħandek

Jekk identifikajt vulnerabbiltà, jekk jogħġbok

  • ibgħat is-sejbiet tiegħek bil-email mill-aktar fis possibbli lil EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), fejn tispeċifika jekk taqbilx li ismek jew il-psewdonimu tiegħek jitqiegħed għad-dispożizzjoni tal-pubbliku bħala dak li skopra l-problema
  • ikkripta s-sejbiet tiegħek billi tuża ċ-ċavetta PGP tagħna biex tipprevjeni li din l-informazzjoni kritika taqa’ f’idejn ħżiena
  • ipprovdilna biżżejjed informazzjoni biex nirriproduċu l-problema sabiex inkunu nistgħu nsolvuha malajr kemm jista’ jkun. Normalment, l-indirizz IP jew l-URL tas-sistema affettwata u deskrizzjoni tal-vulnerabbiltà jkunu biżżejjed, iżda vulnerabbiltajiet kumplessi jistgħu jeħtieġu spjegazzjoni ulterjuri f’termini ta’ informazzjoni teknika jew kodiċi potenzjali tal-prova tal-kunċett
  • ipprovdi r-rapport tiegħek bl-Ingliż preferibbilment, jew bi kwalunkwe lingwa uffiċjali oħra tal-Unjoni Ewropea

X’tista’ tistenna mingħandna

Min-naħa tagħna, inwiegħdu dan li ġej meta tirrapportalna vulnerabbiltà, jiġifieri

  • inwieġbu għar-rapport tiegħek fi żmien tlett (3) ijiem tax-xogħol bl-evalwazzjoni tagħna tar-rapport
  • nittrattaw ir-rapport tiegħek b’kunfidenzjalità stretta
  • fejn possibbli, ninfurmawk meta l-vulnerabbiltà tkun ġiet rimedjata
  • nipproċessaw id-data personali li tipprovdi (bħall-indirizz tal-email u l-isem tiegħek) f’konformità mal-leġiżlazzjoni applikabbli dwar il-protezzjoni tad-data u ma ngħaddux id-dettalji personali tiegħek lil partijiet terzi mingħajr il-permess tiegħek
  • nippubblikaw ismek bħala dak li skopra l-problema, jekk tkun qbilt ma’ dan fl-email inizjali tiegħek, meta u jekk aħna niddivulgaw il-problema pubblikament