Introduzione
In linea con la decisione (CE) n. 2017/46, la Commissione europea considera la sicurezza dei propri sistemi di comunicazione e informazione una priorità assoluta.
Tuttavia, nonostante i migliori sforzi, le vulnerabilità non possono mai essere del tutto eliminate. Se vengono individuate e sfruttate, rischiano di minare la riservatezza, l'integrità o la disponibilità dei sistemi della Commissione europea e delle informazioni ivi trattate.
La politica di divulgazione delle vulnerabilità descrive quali sono i sistemi e i tipi di test autorizzati e come segnalare eventuali vulnerabilità riscontrate. Invitiamo tutti gli utenti a seguire questa politica e a contattarci per mettere in evidenza i problemi di sicurezza individuati nei nostri sistemi.
Autorizzazione
Nel rispetto della politica, collaboreremo con chiunque voglia individuare e segnalare in buona fede le vulnerabilità dei sistemi della Commissione europea, in modo da poter comprendere e risolvere rapidamente i problemi.
La Commissione europea non avvierà azioni legali nei confronti di chiunque individui le vulnerabilità dei nostri sistemi, a condizione che segua linee guida di questa politica.
Ambito di applicazione
La presente politica si applica a tutti i sistemi Internet della Commissione europea, tra cui:
- l'intera presenza della Commissione europea sul web
- *.ec.europa.eu/*
- *.commission.europa.eu/*
- IP pubblici resi noti nell'ambito dell'ASN 42848 e servizi annessi
- qualsiasi altro software pubblicato dalla Commissione europea.
I servizi non espressamente elencati qui sopra sono esclusi dall'ambito di applicazione della politica e non possono essere sottoposti a test.
Inoltre, sono escluse anche le vulnerabilità riscontrate nei sistemi di fornitori, che vanno segnalate direttamente al fornitore in questione in base alla rispettiva politica in materia (se esistente).
Linee guida
Nello svolgimento delle attività è indispensabile:
- non approfittare della vulnerabilità o del problema riscontrato, ad esempio scaricando più dati del necessario per dimostrare tale vulnerabilità, oppure cancellando o modificando i dati di altre persone
- utilizzare soltanto "exploit" innocui per confermare la presenza di una vulnerabilità
- non rivelare al pubblico o ad altre parti i dati scaricati durante la scoperta della vulnerabilità
- non rivelare al pubblico o ad altre parti la vulnerabilità o il problema finché non sia stata trovata una soluzione
- interrompere i test quando si scoprono informazioni sensibili (informazioni personali identificabili, informazioni mediche, finanziarie, di proprietà esclusiva o segreti commerciali), segnalandole immediatamente e non divulgando i dati ottenuti ad altri.
Non eseguire le seguenti azioni:
- collocare malware (virus, worm, cavalli di Troia, ecc.) su qualsiasi sistema
- compromettere i sistemi utilizzando "exploit" per ottenere un controllo totale o parziale
- copiare, modificare o cancellare i dati dal sistema
- apportare modifiche al sistema
- accedere ripetutamente al sistema o condividere l'accesso con altre parti
- sfruttare qualsiasi accesso ottenuto per tentare di accedere ad altri sistemi
- modificare i diritti di accesso di altri utenti
- utilizzare strumenti di scansione automatizzata
- eseguire un cosiddetto "attacco a forza bruta" per accedere a qualsiasi sistema
- utilizzare la negazione del servizio ("denial-of-service") o l'ingegneria social (phishing, vishing, spam, ecc.)
- eseguire attacchi alla sicurezza fisica.
Segnalazione di una vulnerabilità
Comportamenti auspicabili
Una volta individuata una vulnerabilità, occorre:
- inviare quanto prima le informazioni del caso all'indirizzo EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), specificando se si acconsente o meno a rendere pubblico il proprio nome o pseudonimo come scopritore del problema
- criptare le informazioni utilizzando la chiave PGP per evitare che finiscano nelle mani sbagliate
- fornire informazioni sufficienti a riprodurre il problema, in modo da poterlo risolvere il più rapidamente possibile. Di solito sono sufficienti l'indirizzo IP o l'URL del sistema interessato e una descrizione della vulnerabilità, ma le vulnerabilità complesse possono richiedere ulteriori spiegazioni in termini di informazioni tecniche o di un eventuale codice "proof-of-concept"
- effettuare la segnalazione preferibilmente in inglese, oppure in qualsiasi altra lingua ufficiale dell'Unione europea.
Impegno della Commissione
Da parte nostra, nei confronti di chi segnala una vulnerabilità ci impegniamo a:
- dare una risposta entro tre (3) giorni lavorativi dalla segnalazione fornendo una valutazione del problema
- esaminare la segnalazione con la massima riservatezza
- ove possibile, comunicare quando è stato posto rimedio alla vulnerabilità
- trattare i dati personali forniti (ad esempio l'indirizzo e-mail e il nome) conformemente alla legislazione vigente in materia di protezione dei dati e non trasmetterli a terzi senza il consenso dell'interessato
- pubblicare il nome di chi scopre il problema, se nell'e-mail iniziale ha dato il proprio consenso in proposito, quando e se il problema viene divulgato pubblicamente.