Pranešti apie spragą

Skatiname atsakingo atskleidimo principų taikymą kibernetinio saugumo srityje – neskelbkite informacinėse sistemose aptiktų saugumo spragų viešai, o praneškite apie jas sistemos valdytojui, suteikdami jam galimybę ištaisyti klaidas. Ankstyvas saugumo spragos viešas atskleidimas gali būti piktavalio išnaudotas kibernetinėms atakoms atlikti.

Spragų atskleidimas yra laikomas atsakingu, kai informacija apie aptiktas spragas yra, visų pirma, pateikiama pačiai organizacijai, kurios sistemose ar produktuose jos buvo aptiktos, ir/ar spragų atskleidimo procesą koordinuojančiai institucijai - Nacionaliniam kibernetinio saugumo centrui.

Spragų paieška ir jų atskleidimas yra laikomi teisėtais ir tokius veiksmus atlikusiam asmeniui neužtraukia teisinės atsakomybės, kai vykdant šią veiklą nėra trikdomas ryšių ir informacinės sistemos darbas, funkcionalumas, teikiamos paslaugos ir duomenų prieinamumas. Taip pat nesiekiama be reikalo, daugiau, negu reikia spragai patvirtinti, stebėti, fiksuoti, perimti, įgyti, laikyti, atskleisti, kopijuoti, keisti duomenų, nebandoma atspėti slaptažodžius, nenaudojami neteisėtu būdu gauti slaptažodžiai ir nėra manipuliuojama organizacijos darbuotojais.

Asmuo, aptikęs spragą, turi nedelsiant nutraukti tolimesnę paiešką ir, ne vėliau kaip per 24 val. nuo spragos aptikimo, apie tai pranešti organizacijai, kurios sistemose ar produktuose ji buvo aptikta, ir/ar Nacionaliniam kibernetinio saugumo centrui, užpildant žemiau esančią pranešimų formą arba informuojant el. paštu [email protected].

Kibernetinio saugumo įstatymo pataisos numato prievolę informuoti ne tik apie aptiktas spragas, bet ir apie vykdytą spragų paiešką. Apie tokią veiklą asmuo privalo informuoti ne vėliau kaip per 24 val. nuo paieškos pradžios, o paiešką tęsiant ilgiau kaip parą – kas 24 val.



* NKSC svetainėje pateikiama supaprastinta informacijos pateikimo forma. Visas Nacionaliniam kibernetinio saugumo centrui teikiamos informacijos apie spragų paieškos rezultatus turinys nurodytas Nacionalinės ryšių ir informacinių sistemų spragų atskleidimo tvarkos apraše.

Jūsų pateikta informacija apie spragas, kurioms aprašyti naudojamas kenkėjiškas kodas (pvz. XSS), gali būti blokuojama ugniasienės, todėl tokią informaciją rekomenduojame siųsti el. paštu [email protected]


 

Susiję teisės aktai

Kibernetinio saugumo įstatymas (17 straipsnis. Spragų paieška ir atskleidimas)

Nacionalinės ryšių ir informacinių sistemų spragų atskleidimo tvarkos aprašas