Biežāk uzdotie jautājumi

Šajā sadaļā apkopotas atbildes uz biežāk uzdotajiem jautājumiem.

Lai iesniegtu ievainojamības ziņojumu ievainojamību ziņošanas platformā, drošības pētnieks identificē iestādes programmu, kurā ziņojums iesniedzams.

Ziņojumā par ievainojamību norāda šādu informāciju: 
-    resurss, kurā atrasta ievainojamība;
-    ievainojamības apraksts un soļi, lai atkārtotu ievainojamības izmantošanu;
-    ievainojamības ietekme;
-    ieteiktais labojums.

Ziņojumam ir iespējams pievienot arī pielikumus. 
Ievainojamības ziņojumam ieteicams pievienot arī ekrānuzņēmumus, video, teksta failus (kopējais maksimālais failu izmērs ir 5Mb). 

Tiek sagaidīts, ka drošības pētnieks:

  • pētīs tikai tos resursus, kuri iekļauti testēšanas apgabalā, kas norādīts katrai programmai;
  • neizmantos ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai (tikai, lai pierādītu ievainojamības esamību);
  • neizmantos ievainojamību, lai iegūtu, grozītu vai dzēstu informāciju;
  • nemēģinās ietekmēt pakalpojumu pieejamību, izmantojot DoS/DDoS (pakalpojuma atteices) uzbrukumus;
  • neveiks sociālās inženierijas uzbrukumus;
  • neizziņos publiski par ievainojamību, pirms tā ir novērsta;
  • sadarbosies ar resursa pārzini ievainojamības novēršanas procesā.

Galvenais priekšnosacījums veiksmīgai sadarbībai ar drošības pētnieku ir visu iesaistīto pušu vienāda izpratne par to, kas ir un kas nav atļauts, un kā jāsadarbojas, lai nerastos pārpratumi un konfliktsituācijas.

CERT.LV sagaida, ka drošības pētnieks precīzi ievēros iestādes programmas nosacījumus attiecībā uz testējamajiem resursiem un prasībām attiecībā uz pārbaužu veikšanu, ziņojumu iesniegšanu un apstrādi.

Pirms resursu testēšanas uzsākšanas drošības pētniekam vienmēr ir jāpārliecinās, vai iestādes programma ir aktīva un vai tās nosacījumi nav mainījušies.

Nodarīta kaitējuma gadījumā cietusī puse var celt apsūdzību pret drošības pētnieku. Koordinētas ievainojamību atklāšanas procesā netiek plānots attaisnot rīcību, kas radījusi būtisku kaitējumu vai smagas sekas, par ko paredzēta kriminālatbildība Krimināllikuma 241.pantā par patvaļīgu piekļūšanu automatizētai datu apstrādes sistēmai vai 243.pantā par automatizētas datu apstrādes sistēmas darbības traucēšanu un nelikumīgu rīcību ar šajā sistēmā iekļauto informāciju.

Finansiāla atlīdzība par atklātajām ievainojamībām nav paredzēta.

Par būtisku ievainojamību atklāšanu CERT.LV piešķir atzinību un/vai veicināšanas balvas.

Lai reģistrētos platformā kā drošības pētniekam, ir nepieciešams aizpildīt reģistrācijas formu.

Reģistrācijas formā drošības pētnieks aizpilda visus obligātos laukus:

  • Vārds;
  • Uzvārds;
  • Lietotājvārds (būs publiski pieejams citiem platformas dalībniekiem);
  • E-pasta adrese;
  • Parole;
  • Loma –> izvēlas "drošības pētnieks".

Drošības pētnieka reģistrācija tiek turpināta tikai tad, ja ir atzīmēts, ka drošības pētnieks apņemas ievērot platformas lietošanas noteikumus un CERT.LV personas datu apstrādes kārtību ievainojamību ziņošanas platformā.

Uz drošības pētnieka norādīto e-pasta adresi tiek nosūtīta verifikācijas saite, kurai sekojot pētnieks pabeidz reģistrācijas procesu un var sākt lietot ievainojamību ziņošanas platformu.

Ja drošības pētnieks ir identificējis ievainojamību, bet nevar identificēt iestādi, kurai resurss piederīgs (resursa pārzinis), pētnieks var iesniegt ziņojumu CERT.LV izveidotajā programmā CERT.LV Klientūras ievainojamības.

Ja persona, kura vēlas iesniegt ievainojamības ziņojumu, nevēlas reģistrēties ievainojamību ziņošanas platformā, ziņojumu var nosūtīt brīvā formā uz e-pasta adresi cvd@cert.lv. Ja ziņojums ir iesniegts anonīmi, ziņojuma iesniedzējam netiks sūtīta informācija par ievainojamības apstrādes gaitu.

Saziņa ievainojamību ziņošanas platformā notiek starp drošības pētnieku, iestādes pārstāvjiem - galveno atbildīgo) un programmas papildu pārvaldītājiem, ja tādi ir pievienoti, - un CERT.LV, izmantojot ievainojamības ziņojumā iekļauto dalībnieku kontaktinformāciju, kā arī ierakstot komentāru laukā nepieciešamo informāciju.

Pēc komentāra pievienošanas no e-pasta adreses cvd@cert.lv uz ievainojamības ziņojumā iesaistīto pušu norādītajām e-pasta adresēm tiek nosūtīts paziņojums par komentāra pievienošanu. 

Ja iestāde, tās pārstāvis vai drošības pētnieks vēlas pārtraukt dalību koordinētas ievainojamību atklāšanas procesā, aicinām nosūtīt iesniegumu uz e-pasta adresi cvd@cert.lv.

Saņemot iesniegumu, CERT.LV atbildīgais darbinieks aptur attiecīgā lietotāja konta darbību ievainojamību ziņošanas platformā.

Prasības noteiktas šādos normatīvajos aktos:

Koordinētas ievainojamību atklāšanas procesa ieviešanas mērķis ir veicināt pētnieku un augstas kvalifikācijas informācijas tehnoloģiju speciālistu aktīvāku iesaisti ievainojamību ziņošanā. Pētniekam būs iespēja piekļūt informācijai par resursiem, kurus atļauts testēt, un noteikta kārtība, kādā pētniekam jāziņo par atklāto ievainojamību.

Ievainojamību ziņošanas platforma ir platforma kas pieejama tiešsaistē 24/7, un tā atbalsta efektīvu un pārskatāmu ievainojamību ziņojumu reģistrēšanu, apstrādi un iesaistīto pušu sadarbību.

Platformas mērķis ir veicināt pētnieku un augstas kvalifikācijas informācijas tehnoloģiju speciālistu aktīvāku iesaisti.

Ievainojamību ziņošanas platformā ir šādas lietotāju lomas:

  • drošības pētnieks
  • iestādes pārstāvis
  • CERT.LV atbildīgais darbinieks