Atsakingas informacinių sistemų spragų atskleidimas
Kviečiame kibernetinio saugumo ekspertus prisidėti prie Lietuvos energetikos sektoriaus kibernetinio saugumo. Jeigu pastebėjote „Litgrid“ informacinių sistemų pažeidžiamumą arba spragą, prašome nedelsiant apie tai pranešti mums. Prieš pradedant ieškoti pažeidžiamumų „Litgrid“ informacinėse sistemose, kviečiame susipažinti su žemiau pateikta spragų paieškos tvarka.
Kaip galite ieškoti pažeidžiamumų ir (arba) spragų „Litgrid“ sistemose, kad tai Jums neužtrauktų teisinės atsakomybės?
Vykdydami „Litgrid“ informacinių sistemų pažeidžiamumų ir arba spragų paiešką privalote laikytis šiame puslapyje ir LITGRID AB INFORMACINIŲ SISTEMŲ SPRAGŲ ATSAKINGO ATSKLEIDIMO TVARKOS APRAŠE (toliau – Aprašas) nustatytų sąlygų. Pateikdami informaciją apie „Litgrid“ sistemų pažeidžiamumą arba spragą Jūs patvirtinate, kad susipažinote ir įsipareigojote laikytis Aprašo reikalavimų.
Jeigu esate Bendrovės darbuotojas, kolegialaus valdymo organo narys, tiekėjas, rangovas arba kitas trečiasis asmuo ir dėl santykių su „Litgrid“ gavote prieigą prie „Litgrid“ informacinių sistemų, kuriose aptikote spragą, apie ją privalote informuoti „Litgrid“ sutarties ir vidinių Bendrovės teisės aktų, su kuriais buvote supažindintas, nustatyta tvarka.
Atlikdami spragų paiešką privalote laikytis šių apribojimų:
– negalite trikdyti ar keisti „Litgrid“ informacinių sistemų darbo, funkcionalumo, teikiamų paslaugų bei duomenų prieinamumo ar vientisumo;
– įsitikinę, kad spraga yra, turite nedelsiant nutraukti spragos paieškos veiklą ir informuoti „Litgrid“. Aptiktos spragos negalite naudoti tolimesnių, su rasta spraga susijusių pažeidžiamumų paieškai;
– negalite vykdyti DDoS ar kitokių atakų, kurios gali pakenkti ar kitaip daryti įtaką „Litgrid“ valdomoms informacinėms sistemoms, paslaugų ar duomenų patikimumui, vientisumui bei prieinamumui;
– nebandysite atlikti veiksmų (daugiau negu reikia spragai patvirtinti), kurie leistų trečiosioms šalims, stebėti, fiksuoti, perimti, įgyti, laikyti, atskleisti, kopijuoti, keisti, naikinti, gadinti, šalinti „Litgrid“ valdomų ir (ar) tvarkomų duomenų;
– nenaudoti socialinės inžinerijos atakų, nebandyti atspėti slaptažodžių, nenaudoti neteisėtu būdu gautų slaptažodžių ir nemanipuliuoti „Litgrid“ darbuotojais ar kitais asmenimis (pvz. rangovais), turinčiais teisę naudotis viešai neskelbtina informacija;
– nebandyti fiziškai paveikti infrastruktūros arba bandyti naudoti fizinio poveikio priemones (bandyti patekti į patalpas, objektus, gadinti techninę įrangą);
– nebandyti naudotis aptiktomis spragomis siekiant finansinės naudos ar pažeisti Lietuvos Respublikos teisės aktų reikalavimus;
– nesidalinti informacija apie aptiktą spragą, išskyrus „Litgrid“ ir (arba) Nacionalinį kibernetinio saugumo centrą, nepranešus apie tai „Litgrid“ ir nesuderinus su „Litgrid“ informacijos atskleidimo sąlygų.
Kokio pranešimo turinio apie pažeidžiamumus ir (arba) saugumo spragas tikimės?
Jei manote, kad radote „Litgrid“ sistemose pažeidžiamumą arba saugumo spragą, prašome apie tai pranešti užpildant formą, esančią puslapio apačioje ir išsiunčiant ją el. pašto adresu [email protected].
Dėl informacijos saugumo prašome el. laišką užšifruoti naudojantis mūsų PGP raktu:
-----BEGIN PGP PUBLIC KEY BLOCK-----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=YtFv
-----END PGP PUBLIC KEY BLOCK-----
Mums labai svarbi išsami informacija apie pažeidžiamumą arba spragą, kad galėtume nedelsdami patvirtinti arba paneigti jos egzistavimą ir, jai pasitvirtinus, imtis priemonių ją kaip įmanoma skubiau ištaisyti.
Todėl Jūsų kontaktiniai duomenys mums yra svarbūs – taip galėsime susisiekti dėl pažeidžiamumo arba spragos detalizavimo ir operatyvesnio jos pašalinimo, jeigu ji būtų patvirtinta.
Daugiau informacija apie asmens duomenų tvarkymą: https://www.litgrid.eu/index.php/apie-litgrid/asmens-duomenu-apsauga/3936
Ar galite viešinti informaciją apie aptiktą pažeidžiamumą ir (arba) spragą?
Informaciją apie spragą galėsite paskelbti Apraše nustatyta tvarka po to, kad mes spragą pašalinsime arba nustatysime, kad spragos nėra.
Dėl informacijos atkleidimo kiekvienu konkrečiu atveju rekomenduojame pasikonsultuoti su „Litgrid“ el. pašto adresu incidentai@litgrid.eu.
