Gdzie zgłosić podatność?
Przed zgłoszeniem znalezionej podatności do CERT Polska i upublicznieniem jej, zgłaszający powinien skontaktować się bezpośrednio z właścicielem podatnego systemu lub dostawcą oprogramowania.
Jeśli nie jest możliwe znalezienie kontaktu, lub kontakt jest utrudniony, podatność należy zgłosić do właściwego CSIRT-u według obowiązującego zakresu odpowiedzialności, zgodnie z poniższym opisem:
Do zadań CSIRT MON należy koordynacja obsługi zgłaszanych podatności w podmiotach podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych. Zgłaszanie podatności do CSIRT MON wg instrukcji na stronie.
Do zadań CSIRT GOV należy koordynacja obsługi podatności zgłaszanych m.in. w jednostkach podległych Prezesowi Rady Ministrów lub przez niego nadzorowanych, podmiotach wchodzących w skład infrastruktury krytycznej, organach centralnej administracji rządowej, Narodowym Banku Polskim, Banku Gospodarstwa Krajowego. Zgłaszanie podatności do CSIRT GOV wg instrukcji na stronie.
Jeśli podatność dotyczy innych podmiotów, lub gdy zgłaszający ma wątpliwość gdzie powinien dokonać zgłoszenia, należy skorzystać z formularza dostępnego pod poniższym przyciskiem:
Zgłoś podatność do CERT Polska/CSIRT NASK
Jak wygląda obsługa zgłoszenia po stronie CERT Polska / CSIRT NASK?
Każde otrzymane zgłoszenie o podatności zostanie przez nas przeanalizowane. W przypadku potrzeby uzyskania dodatkowych informacji lub ich uzupełnienia, nasi analitycy skontaktują się bezpośrednio ze Zgłaszającym. W razie konieczności wymiany informacji między Zgłaszającym, a właścicielem podatnego systemu, CERT Polska może wesprzeć ten proces jako zaufana strona.
Priorytetowo traktujemy zgłoszenia, które dotyczą wielu producentów lub podmiotów i mogą mieć znaczny wpływ na bezpieczeństwo krajowe.
Po zakończeniu całego procesu zgłaszania podatności i po załataniu błędu, CERT Polska może upublicznić na swojej stronie informacje o podatności w sposób nie pozwalający na zidentyfikowanie zgłaszającego oraz nie wskazujący na jego systemy. Informacja ta będzie zawierała dane zgłaszającego wyłącznie po wyrażeniu przez niego zgody.
Prosimy o niepublikowanie informacji o podatności przed zakończeniem procesu jej obsługi. Jeśli Zgłaszający planuje takie działania, prosimy o informację wyprzedzającą.
Jak i kiedy są nadawane numery CVE?
W przypadku gdy podatność dotyczy oprogramowania wykorzystywanego na wielu systemach możliwe jest uzyskanie dla niej numeru CVE. Więcej o programie CVE można przeczytać pod adresem: https://www.cve.org/About/Overview
Przykładowo, podatność występująca na stronie internetowej jednego urzędu miasta nie otrzyma numeru CVE, ale podatność w systemie zarządzania treścią wykorzystywanym przez wiele urzędów może taki numer otrzymać. Numer CVE nie zostanie również nadany jeśli podatność wynika z błędu konfiguracyjnego osoby wdrażającej system, a nie systemu samego w sobie.
Wniosek o nadanie CVE powinien zostać wysłany do właściwego podmiotu nadającego, tzw. CVE Numbering Authorities (CNA), zależnie od tego jakiego systemu dotyczy podatność. Listę CNA oraz informację jak wysłać zgłoszenie można znaleźć na stronie: https://www.cve.org/ReportRequest/ReportRequestForNonCNAs
Jeśli podatność dotyczy polskiego producenta, który nie jest CNA, lub jeśli Zgłaszający ma problem z nawiązaniem kontaktu z właściwym CNA, jako CERT Polska możemy wesprzeć Zgłaszającego w procesie nadawania numeru CVE.
Zgłoszenia podatności odbywają się wyłącznie poprzez dedykowany formularz. Przekazujemy te informacje producentowi oprogramowania niezwłocznie po otrzymaniu zgłoszenia.
Wpisy CVE publikujemy po 90 dniach od daty przesłania producentowi szczegółów wykrytych słabości. Może to nastąpić szybciej w przypadku gdy wydana zostanie aktualizacja usuwająca daną podatność lub gdy mimo wielokrotnych prób kontaktu z producentem nie udaje się uzyskać zadowalającej współpracy. W uzasadnionych przypadkach dopuszczamy również możliwość przedłużenia tego okresu.
W przypadku innych pytań związanych z procesem ujawniania podatności prosimy o kontakt pod adresem: [email protected].