NIC

Latvijas Universitātes Matemātikas un informātikas institūta Tīkla risinājumu daļa (NIC.LV) nodrošina augstākā līmeņa domēna .lv reģistra un elektroniskās numurēšanas sistēmas pakalpojumus.

NIC galvenie uzdevumi ir nodrošināt drošu, stabilu un nepārtrauktu augstākā līmeņa domēna .LV darbību un pieejamību, elektroniskās numurēšanas sistēmas (ENUM) darbību, 24x7 iespēju pieteikt domēna vārdus, kā arī veikt izmaiņas tiešsaistes sistēmā, .lv darbībai nepieciešamos datus un to precizitāti atbilstoši standartiem, Whois pakalpojumu, kā arī konsultācijas ar domēna vārdiem saistītos tehniskos, administratīvos un juridiskos jautājumos.

NIC.LV pievērš īpašu uzmanību savu informācijas sistēmu un datu drošībai un aicina drošības pētniekus un citus interesentus atbildīgi ziņot par jebkuru konstatēto drošības ievainojamību.

Publiskotajā programmā ir tiesības piedalīties jebkuram (reģistrētam vai nereģistrētam) drošības pētniekam (DP). DP ir atļauts testēt tikai NIC.LV norādītos resursus definētajā laika periodā un tikai tad, ja programma ir aktīva. Pirms resursa testēšanas uzsākšanas nepieciešams pārbaudīt, vai programma ir aktīva.

Ievainojamību ziņošanas kārtība attiecībā uz šajā platformā norādītajiem resursiem un ziņošanai izmantojamā PGP atslēga pieejama https://www.nic.lv/lv/nic-ievainojamibu-zinosanas-kartiba.

1. Kā ziņot par ievainojamību
1.1. Par konstatēto ievainojamību iespējams ziņot:
1.1.1.nosūtot e-pastu uz security@nic.lv. Aicinām jūs izmantotu mūsu publisko PGP atslēgu, lai šifrētu un aizsargātu nosūtīto informāciju.
1.1.2 ievainojamību ziņošanas platformā - cvd.cert.lv.
1.2. Ievainojamības ziņojumā cita starpā lūdzam iekļaut:
1.2.1. ievainojamības aprakstu;
1.2.2. ievainojamības izmantošanas veidu (ja zināms);
1.2.3. ievainojamā resursa adresi (URL);
1.2.4. soļus ievainojamības atkārtošanai;
1.2.5. ekrānuzņēmumus vai citu pierādījumu informāciju;
1.2.6. ziņotāja kontaktinformāciju (vārds, e-pasts);
1.2.7. publisko PGP atslēgu (ja pieejama).
2. Par kādām ievainojamībām ziņot
2.1. Aicinām ziņot par ievainojamībām NIC.LV pakalpojumos, tostarp autentifikācijas vai autorizācijas nepilnībām, piekļuves kontroles kļūdām, datu aizsardzības un šifrēšanas nepilnībām, loģikas kļūdām ar iespējamu drošības ietekmi, ievainojamībām tīmekļa saskarnēs un API, kā arī citām ievainojamībām, kas var ietekmēt sistēmu konfidencialitāti, integritāti vai pieejamību.
2.2. Ziņošanas mehānisms nav paredzēts:
2.2.1. drukas vai satura kļūdu ziņošanai;
2.2.2.vispārīgiem jautājumiem par pakalpojumiem;
2.2.3. klientu atbalsta pieprasījumiem.
3. NIC.LV rīcība pēc ziņojuma saņemšanas
3.1. NIC.LV apstiprinās ziņojuma saņemšanu, izvērtēs iesniegto informāciju, nepieciešamības gadījumā sazināsies ar ziņojuma iesniedzēju, lai precizētu iesniegto infomāciju, informēs ziņotāju (turpmāk – drošības pētnieku) par ievainojamības novēršanas procesu un paziņos, kad ievainojamība ir novērsta.
3.2. Ja drošības pētnieks to vēlas, pēc ievainojamības novēršanas NIC.LV var atzīt drošības pētnieka ieguldījumu drošības uzlabošanā, nodrošinot pozitīvu atbalstu un publicitāti. Finansiāla atlīdzība par konstatētām ievainojamībām netiek piedāvāta.
4. Drošības pētnieka darbības principi
4.1. NIC.LV aicina drošības pētniekus ievērot atbildīgas ievainojamību atklāšanas principus un:
4.1.1. neizmantot ievainojamību, lai piekļūtu informācijai, kas tiem nepieder;
4.1.2. neiegūt datus lielākā apmērā kā nepieciešams ievainojamības konstatēšanai, kā arī nemainīt un nedzēst datus;
4.1.3. neveikt darbības, kas var ietekmēt pakalpojumu pieejamību (piemēram, pakalpojuma atteices uzbrukumus);
4.1.4. neveikt sociālās inženierijas uzbrukumus;
4.1.5. nepubliskot informāciju par ievainojamību pirms tās novēršanas.