Varnost naše infrastrukture in storitev jemljemo zelo resno. Če kljub temu najdete nekaj, kar se vam zdi kot potencialna ranljivost v enem od naših sistemov ali storitev, nam to takoj sporočite, da lahko čim prej odpravimo težave.
Smo del akademske in raziskovalne ustanove (javni zavod) in vam za ugotovitve ne moremo ponuditi denarne ali druge podobne nagrade. Poleg tega nimamo strani “Hall of fame”. Vendar smo vam za vaš prispevek k izboljšanju naše kibernetske varnosti resnično hvaležni.
Ste odkrili ranljivost?
Da bi preprečili kakršno koli zlorabo ranljivosti s strani drugih, vas prosimo, da upoštevate naslednje smernice naše politike odgovornega razkrivanja podatkov:
- Svoja opažanja čim prej pošljite na naslov dns@register.si. To lahko pošljete v dveh jezikih: angleškem ali slovenskem.
- Sporočilo šifrirajte z našim PGP ključem za dns@register.si.
- V sporočilu bodite točni in navedite čim več informacij, da lahko repliciramo in rešimo težave. V večini primerov zadostuje naslov IP ali URL zadevnega sistema in opis ranljivosti. Pri zapletenih težavah bo morda potreben podroben opis (vključno s posnetki zaslona, dnevniškimi zapisi itd.).
- Pri poročanju o težavi navedite vsaj vaš veljavni e-poštni naslov, na katerega se lahko obrnemo, če bi potrebovali dodatne podrobnosti ali pojasnila.
- V kolikor dobite dostop do sistemov, ne spreminjajte nobenih podatkov ali sistemskih nastavitev. Poskrbite, da vse raziskave, ki jih izvajate, ne bodo škodile operativnemu delovanju naših sistemov. Napadi DDOS, napadi socialnega inženiringa, namestitev zlonamerne programske opreme ali virusov, kraja gesla, goljufija itd. se bodo šteli za kaznivo dejanje in bodo posredovani organom.
- Dokler težave ne odpravimo, pridobljene informacije ne razkrivajte nobenemu drugemu.
- Uničite vse zaupne informacije, ki ste morda pridobili.
- Odgovorno ravnajte z izsledki o varnostni težavi. Ne storite več, kot bi morali, da bi nam dokazali ranljivost. Ne zlorabljajte ugotovljene ranljivosti.
Kaj lahko testirate?
Domnevne varnostne ranljivosti, ki jih je mogoče zlorabiti v nezakonite namene in ki se pojavljajo:
- na naših spletnih straneh register.si in imej.si,
- v naših sistemih IKT, storitvah in omrežjih.
Kaj lahko pričakujete od nas?
- Če boste pri poročanju upoštevali zgoraj navedene pogoje, ne bo nobenih pravnih posledic, povezanih z vašim raziskovanjem te težave.
- Cenimo vašo pomoč pri optimizaciji varnosti naših sistemov in omrežij. Zato se bomo po najboljših močeh potrudili, da bodo vsi stiki potekali na pošten in spoštljiv način:
- Vaše poročilo bomo obravnavali kot zaupno in vaših osebnih podatkov brez vašega soglasja ne bomo posredovali nobeni tretji osebi, razen če nas k temu zavezuje zakon ali sodna odločba.
- Z vami bomo stopili v stik v 10 delovnih dneh (če ste nam posredovali veljavne kontaktne podatke).
- Vse potrebne ukrepe bomo izvedli takoj, ko bo to mogoče, in si prizadevali za čim hitrejše popravke vseh težav.
Končne določbe
- Če odkrijete ranljivost, vendar ne upoštevate zgoraj navedenih pravil o odgovornem razkritju, si pridržujemo pravico do ukrepanja ali sodnega postopka in/ali prijave zadeve policiji.
- Odgovorno razkritje je razkritje ranljivosti na podlagi skupnega posvetovanja med vami in Registrom .si na podlagi teh pravil odgovornega razkritja.
Politika odgovornega razkritja, različica 2.1, z dne 24. junij 2024..
(*) Pri pripravi tega besedila smo uporabili naslednje predloge, ki sta jih zagotovili podjetji Floor Terra in Bugcrowd: