Przejdź do treści głównej
Symbol graficzny Komisji Europejskiej
pl
Komisja Europejska
  • Nasze priorytety
    Poznaj siedem priorytetów Komisji i dowiedz się, w jaki sposób UE buduje zrównoważoną, konkurencyjną i sprzyjającą włączeniu społecznemu przyszłość.
  • Aktualności i media
    Śledź aktualności związane z Komisją Europejską. Przejrzyj najnowsze wiadomości oraz materiały multimedialne, prasowe i audiowizualne.
  • Tematy od A do Z
    Odkryj politykę UE ukierunkowaną na przynoszenie korzyści obywatelom, przedsiębiorstwom i innym podmiotom w UE.
  • POLECAMY
  • FEATURED
  • POLECAMY
  • POLECAMY
  • POLECAMY
  •  
  • Wszystkie tematy
  • Zasoby
    Przejrzyj nasze bogate zasoby: publikacje, statystyki, materiały dydaktyczne i wytyczne dla naszych partnerów.
  • Eurobarometr
  • Prawo UE
  • Kącik edukacyjny
  • Europa Web Guide
  • European Commission visual identity
  •  
  • Więcej na temat zasobów
  • Zaangażuj się!
    Wyraź swoje poglądy na temat polityki i przepisów UE, weź udział w debacie na temat przyszłości Europy i pozyskaj finansowanie dla swoich projektów.
  • Oferty pracy
  • Środki unijne i przetargi
  • Wydarzenia
  • Komisja Europejska w mediach społecznościowych
  •  
  • Więcej treści „Europa i Ty”
    • WYBRANE TEMATY

    Polityka dotycząca wykrywania luk w zabezpieczeniach

    Wprowadzenie

    Dla Komisji Europejskiej bezpieczeństwo jej systemów teleinformatycznych to ścisły priorytet. Stanowi o tym decyzja Komisji (WE) 2017/46.

    Jednak nawet mimo usilnych starań nie da się w pełni wyeliminować luk w zabezpieczeniach. Wykrycie i wykorzystanie przez kogoś słabych punktów w systemach teleinformatycznych Komisji Europejskiej to zagrożenie dla poufności, integralności lub dostępności danych oraz dla samych tych systemów.

    W tej informacji na temat polityki dotyczącej wykrywania luk w zabezpieczeniach opisano systemy, na których można przeprowadzać testy, oraz typy dozwolonych testów. Określono również to, jak należy przesyłać raport w sprawie luk w zabezpieczeniach. Zachęcamy do zgłaszania potencjalnych zagrożeń dla bezpieczeństwa w systemach Komisji z zachowaniem opisanych tu zasad.

    Pozwolenie

    Jeżeli działasz w dobrej wierze, mając na celu wykrycie i zgłoszenie luk w zabezpieczeniach systemów Komisji Europejskiej, i działasz przy tym zgodnie z wytycznymi tej polityki, jesteśmy gotowi do współpracy, aby zrozumieć zgłoszone problemy i szybko je rozwiązać.
    Komisja Europejska nie będzie podejmować przeciwko Tobie działań prawnych w związku z działaniami polegającymi na wykrywaniu luk w zabezpieczeniach, jeżeli przestrzegasz opisanych tu wytycznych.

    Zakres polityki

    Nasza polityka ma zastosowanie do wszystkich systemów internetowych Komisji Europejskiej, w tym do:

    • wszystkich stron internetowych Komisji Europejskiej
      • *.ec.europa.eu/*
      • *.commission.europa.eu/*
    • publicznych adresów IP pod numerem AS 42848 oraz powiązanych usług
    • wszelkiego oprogramowania udostępnianego przez Komisję Europejską.

    Wszelkie usługi, których nie wymieniono wprost powyżej, znajdują się poza zakresem polityki i nie zezwala się na ich testowanie.
    Ponadto z zakresu polityki wyłączone są również luki znalezione w systemach dostawców zewnętrznych. Takie luki należy zgłaszać dostawcom bezpośrednio, zgodnie z polityką dotyczącą wykrywania luk w zabezpieczeniach danego dostawcy (jeżeli taka istnieje).

    Wytyczne

    O czym musisz pamiętać, testując systemy Komisji

    • Nie możesz wykorzystać znalezionej luki lub problemu, np. przez pobranie danych w ilości większej, niż jest to konieczne do udowodnienia, że luka istnieje, czy też przez usunięcie lub zmianę danych innych osób.
    • Aby potwierdzić, że luka istnieje, możesz korzystać tylko z nieszkodliwych exploitów.
    • Nie masz prawa ujawnić publicznie ani przekazać dowolnej stronie trzeciej jakichkolwiek danych pozyskanych w trakcie wykrywania luki.
    • Nie możesz ujawnić publicznie ani przekazać stronom trzecim informacji o luce lub problemie, które nie zostały jeszcze rozwiązane.
    • Musisz przerwać testy, gdy tylko odkryjesz informacje szczególnie chronione (PII – dane identyfikujące osobę, informacje medyczne, finansowe i zastrzeżone czy tajemnice handlowe). W takiej sytuacji musisz natychmiast skontaktować się z nami. Nie masz prawa udostępniać nikomu tak pozyskanych danych.

    Jakie działania są zabronione

    • umieszczanie złośliwego oprogramowania (wirus, robak komputerowy, koń trojański itp.) w dowolnym systemie
    • wykorzystanie luk w dowolnym systemie za pomocą exploitów, by zyskać nad nim całkowitą lub częściową kontrolę
    • kopiowanie, zmiana lub usunięcie danych z systemu
    • dokonywanie zmian w systemie
    • wielokrotny dostęp do systemu, ujawnianie dostępu publicznie lub dzielenie się nim z innymi stronami
    • wykorzystanie zdobytego dostępu, by uzyskać dostęp do innych systemów
    • zmiana praw dostępu innych użytkowników
    • użycie automatycznych narzędzi skanujących
    • użycie ataku typu brute-force w celu uzyskania dostępu do dowolnego systemu
    • przeprowadzenie ataku typu „odmowa usługi” (DoS) lub użycie inżynierii społecznej (phishing, vishing, spam itp.)
    • przeprowadzenie ataku na bezpieczeństwo fizyczne.

    Zgłaszanie luk w zabezpieczeniach

    Co zrobić, jeśli wykryjesz lukę

    W przypadku wykrycia luki prosimy o:

    • jak najszybsze przekazanie informacji o wykrytej luce na adres EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) z zaznaczeniem, czy zgadzasz się na podanie do wiadomości publicznej Twojego imienia, nazwiska lub pseudonimu jako osoby, która odkryła problem
    • zaszyfrowanie wiadomości z użyciem klucza PGP, aby krytyczne informacje nie wpadły w niepowołane ręce
    • podanie nam wystarczających informacji, byśmy mogli odtworzyć problem, a potem jak najszybciej go rozwiązać. W tym celu zazwyczaj wystarcza podanie adresu IP lub URL systemu oraz opis luki, jednak w przypadku złożonych problemów może być konieczne dłuższe wyjaśnienie i informacje techniczne lub ewentualnie proof of concept (PoC)
    • wysłanie raportu najlepiej po angielsku lub w innym języku urzędowym Unii Europejskiej.

    Co oferujemy w zamian

    W zamian za zgłoszenie nam luki w zabezpieczeniach obiecujemy:

    • odpowiedzieć na zgłoszenie w ciągu trzech (3) dni roboczych, dokonując własnej oceny zgłoszenia
    • dochować pełnej poufności w kontekście zgłoszenia
    • jeżeli to możliwe, powiadomić Cię o usunięciu luki w zabezpieczeniach
    • przetwarzać przekazane przez Ciebie dane (takie jak adres e-mail oraz imię i nazwisko) zgodnie z obowiązującymi przepisami o ochronie danych i nie przekazywać danych osobowych stronom trzecim bez Twojej zgody
    • gdy (i jeśli) informacja o luce stanie się ogólnodostępna, opublikować Twoje imię i nazwisko lub pseudonim jako osoby, która odkryła problem – jeżeli zgoda na to została zawarta w Twoim pierwszym mailu.