Ievainojamību ziņošana

Par ievainojamību var ziņot:

• persona, kura atklājusi ievainojamību;
• ievainojamības atklājējs var deleģēt kādu citu personu, kas iesniedz ziņojumu;
• drošības pakalpojumu sniedzējs, konsultants, CERT.LV darbinieks, kas to pamanījis ievainojamību veicot drošības izvērtējumu vai ielaušanās testus;
• valsts vai pašvaldību institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs Informācijas tehnoloģiju drošības likuma 6.prim pantā noteiktajos gadījumos;
• jebkura cita iestāde/organizācija, kuras pārvaldībā ir ievainojamā sistēma;
• CERT.LV var saņemt informāciju par ievainojamību no trešās puses (citas CERT komandas, sadarbības partneriem, u.tml.).

Ievainojamību ziņošanai aicinām reģistrēties platformā kā drošības pētniekam un iesniegt ziņojumu, izvēloties iestādei atbilstošo programmu.

Ja iestāde vai resurss, kurā atklāta ievainojamība, nav atrodams ievainojamību ziņošanas platformā, ir iespējams reģistrēt ievainojamību programmā CERT.LV Klientūras ievainojamības, kur CERT.LV atbildīgais darbinieks izvērtēs iesniegto ziņojumu un nosūtīs informāciju par resursu atbildīgajām personām.

Ja ziņotājs nevēlas reģistrēties ievainojamību ziņošanas platformā, ir iespēja nosūtīt ziņojumu brīvā formā uz e-pasta adresi cvd@cert.lv. Sadaļā BUJ drošības pētniekam ir pieejama informācija, ko iekļaut ziņojumā.

Koordinētas ievainojamību atklāšanas procesa ietvaros saziņa notiek ar personu, kura ir ziņojusi par ievainojamību, izmantojot ievainojamības ziņojumā iekļauto ziņotāja kontaktinformāciju. Uz anonīmi iesniegtiem ziņojumiem netiks sūtīta informācija par ievainojamības apstrādes gaitu.

Valsts un pašvaldību iestāžu iesaiste

Valsts un pašvaldību iestādes var brīvprātīgi pieņemt lēmumu par iesaistīšanos koordinētas ievainojamību atklāšanas procesā un noteikt resursus, uz kuriem ievainojamību ziņošana attiecināma.

Iestādes, kuras ir pieņēmušas lēmumu iesaistīties:

1. reģistrējas ievainojamību ziņošanas platformā;
2. aizpilda iestādes programmu, norādot testējamos resursus un nosacījumus drošības pētniekiem, un kontaktpersonas, ar kurām sazināties ievainojamību ziņošanas ietvaros;
3. iestādes mājaslapā ievieto informāciju par iesaisti koordinētas ievainojamību atklāšanas procesā saskaņā ar informatīvā ziņojuma “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē” 3. nodaļā iekļauto aprakstu.

Iestādēm ir pienākums sadarboties ar CERT.LV ievainojamību atklāšanas un novēršanas procesā.

CERT.LV pienākumi

Informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.LV īsteno informatīvajā ziņojumā “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē” noteikto uzdevumu izpildi:

1) Veic ievainojamību ziņošanas koordināciju Latvijā un nodrošina atklātās informācijas par ievainojamību nodošanu konkrētās sistēmas pārzinim.

2) CERT.LV ievainojamību ziņošanas vajadzībām izveidotajā ievainojamību ziņošanas platformā ir pieejama informācija par iestādēm, kas iesaistījušās koordinētas ievainojamību atklāšanas procesā, un par katras iestādes testējamajiem resursiem.

3) Sagatavo vadlīnijas valsts un pašvaldības iestādēm, kā noteikt resursus, uz kuriem ievainojamību ziņošana attiecināma. Atbildes uz biežāk uzdotajiem jautājumiem pieejamas ievainojamību ziņošanas platformas sadaļā BUJ.

Koordinētas ievainojamību atklāšanas procesa ieviešana valsts pārvaldē

2021. gada 14. decembra Ministru kabineta sēdē tika apstiprināts informatīvais ziņojums “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē”. Pēc ziņojuma apstiprināšanas tika uzsākta koordinētas ievainojamību atklāšanas procesa ieviešana valsts pārvaldē, paredzot iespēju iestādēm brīvprātīgi reģistrēt savus resursus ievainojamību ziņošanas platformā. 
CERT.LV ir paredzēta vidutāja un koordinatora loma.