Segnalazione di una falla di sicurezza (Coordinated Vulnerability Disclosure, CVD)

Avete scoperto una falla di sicurezza in un sistema informatico oppure in un’applicazione, un software o un hardware in commercio e volete segnalarla? La prima cosa da fare è informare direttamente il venditore o il proprietario del sistema. Tuttavia, se le organizzazioni non rispondono o la risposta non è soddisfacente, il Centro nazionale per la cibersicurezza (NCSC) può fungere da intermediario per risolvere tali problemi relativi alla sicurezza informatica.

Ci sono diversi modi per segnalare una falla di sicurezza (o vulnerabilità).

Risorse della Confederazione

Le falle di sicurezza tecniche in sistemi informatici, applicazioni o un hardware della Confederazione possono essere segnalate all’NCSC tramite l’apposito modulo sotto riportato. Siete pregati di seguire la procedura standard di segnalazione di una falla.

Per le vulnerabilità di sicurezza nel certificato COVID o nello «SwissCovid Proximity Tracing System», siete pregati di usare il modulo di segnalazione ad hoc.

Risorse esterne alla Confederazione

Le falle di sicurezza in sistemi o prodotti informatici che non appartengono alla Confederazione ma che hanno ripercussioni sul Paese devono sempre essere segnalate in primo luogo al proprietario del sistema o al fornitore del prodotto. È necessario rivolgersi all’NCSC solamente se l’organizzazione non reagisce in modo adeguato. In tal caso, l’NCSC fungerà da intermediario e segnalerà nuovamente all’organizzazione interessata la falla di sicurezza individuata.

Pubblicazione delle CVE («common vulnerability and exposure»)

Come potete segnalarci una CVD?

  • Compilate il modulo sotto riportato indicando i dettagli della falla di sicurezza individuata. Inserite la chiave pubblica PGP in modo da garantire una comunicazione tempestiva e sicura con l’NCSC.
  • Fornite il maggior numero di informazioni possibile affinché la falla possa essere riprodotta. Ciò permette di accelerare il processo di risoluzione del problema.
  • Nel caso di falle più complesse probabilmente dovremo contattarvi direttamente, perciò indicate almeno un indirizzo e-mail o un numero di telefono.
  • Per comunicare in forma criptata potete utilizzare la chiave PGP «vulnerability [at] ncsc.ch».

PGP NCSC Vulnerability (ASC, 3 kB, 31.08.2021)E-Mail: vulnerability at ncsc.ch
Key ID: 0xBCBB3E225F16898A
Fingerprint: F25A B97C 779A 0C6A 0DE0 F356 BCBB 3E22 5F16 898

SMIME NCSC Vulnerability (CER, 1 kB, 06.10.2022)E-Mail: vulnerability at ncsc.ch
Fingerprint: bc4563dc1e37b759cd83ffa72a0d4bed468340c2


Notifica dei Vulnerabilità

*
Breve descrizione della vulnerabilità (massimo 250 caratteri).
 
Descrizione livelli di gravità vedi sotto https://www.first.org/cvss/calculator/3.0.
*
La invitiamo a descrivere quello che ha scoperto nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto.
 
Descrizione delle conseguenze della vulnerabilità. Cosa accade quando si sfrutta la vulnerabilità.
 
Se disponibile, qui si può descrivere un approccio di soluzione.
 
Utilizzare ASCII (per esempio Markdown), pdf o png per la documentazione.
*

Informazioni personali (opzionale)

Qui può inserire le Sue informazioni personali. Questo ci permetterà di contattarla in caso di domande supplementari.

 
 
 
 
Può allegare la sua chiave pubblica PGP qui. Nota: Utilizzi l'estensione .pgp per il file della chiave PGP.
 


Ultima modifica 06.10.2022

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html