Segnalazione di una falla di sicurezza (Coordinated Vulnerability Disclosure, CVD)

Avete scoperto una vulnerabilità in un sistema informatico o in applicazioni, software o hardware che ha un impatto sulla Svizzera e desiderate segnalarla? Esistono diversi modi per segnalare una vulnerabilità all'UFSC a seconda del tipo di sistema interessato.

I sistemi dell'amministrazione federale

I sistemi al di fuori dell'amministrazione federale

Se ha scoperto una vulnerabilità in un sistema o in un prodotto informatico che non appartiene all'amministrazione federale, ma che ha un impatto sulla Svizzera in generale, la vulnerabilità deve essere sempre segnalata in primo luogo al proprietario del sistema o al fornitore del prodotto.

Deve segnalare le vulnerabilità all'UFSC solo se non trova un punto di contatto o se le persone interessate non forniscono una risposta adeguata alla vulnerabilità.

Pubblicazione dei CVE(«common vulnerability and exposure»)

Nota importante sui criteri per ottenere un CVE:

Per garantire un'elaborazione più rapida della sua richiesta CVE, la preghiamo di indicare se esiste un riferimento pubblico che conferma l'esistenza della vulnerabilità o se quest'ultima è stata pianificata da lei o dal fornitore in conformità con i requisiti MITRE.

Il riferimento deve almeno:

  • citare la vulnerabilità (compreso l'ID CVE pianificato o esistente) e le versioni del prodotto interessate dalla vulnerabilità
  • Essere accessibili al pubblico e non richiedere registrazione o login

In conformità con la legge federale sulla sicurezza delle informazioni, il UFCS può pubblicare informazioni relative alle vulnerabilità, indicando il software o l'hardware interessati, che potrebbero anche essere utilizzati come riferimento CVE a determinate condizioni (art. 73c, par. 1, par. 2).

Per accelerare il processo, crei una prima versione del CVE nel «Vulnogram», esporti in formato JSON e lo alleghi alla sua richiesta.

Se la vulnerabilità segnalata riguarda un servizio cloud, si assicuri che sia ammissibile secondo il requisito 7.4.4 delle regole di attribuzione: «La vulnerabilità richiede un'azione da parte del cliente o di un peer per essere risolta».

Come comunicarci una notifica di vulnerabilità?

  • Compili il formulario sottostante descrivendo in dettaglio la sua scoperta. Indichi la sua chiave PGP pubblica in modo che l'UFCS possa contattarla direttamente in modo sicuro.
  • Per le segnalazioni relative a sistemi esterni all'Amministrazione federale, confermi di aver cercato di contattare le persone interessate e indichi il punto di contatto negli appositi campi.
  • Indichi se la sua richiesta è legata a una pubblicazione di CVE, in tal caso alleghi una prima versione e indichi se è già prevista la pubblicazione di un riferimento (vedi l'importante nota sui requisiti CVE).
  • Fornisca quante più informazioni possibili in modo che l'UFCS possa riprodurre la vulnerabilità o almeno valutarne la validità sulla base del rapporto.
  • L'UFCS potrebbe aver bisogno di comunicare direttamente con lei durante il follow-up di un caso. La preghiamo di fornire almeno un indirizzo e-mail (può sempre comunicare con noi in modo anonimo).
  • Per la comunicazione cifrata, utilizzi la chiave PGP dell'indirizzo vulnerability [at] ncsc.ch.

PGP NCSC Vulnerability (ASC, 3 kB, 31.08.2021)E-Mail: vulnerability at ncsc.ch
Key ID: 0xBCBB3E225F16898A
Fingerprint: F25A B97C 779A 0C6A 0DE0 F356 BCBB 3E22 5F16 898A

SMIME NCSC Vulnerability (CER, 1 kB, 06.10.2022)E-Mail: vulnerability at ncsc.ch
Fingerprint: bc4563dc1e37b759cd83ffa72a0d4bed468340c2


Notifica dei Vulnerabilità

*
Breve descrizione della vulnerabilità (massimo 250 caratteri).
 
Descrizione livelli di gravità vedi sotto https://www.first.org/cvss/calculator/3.0.
*
La invitiamo a descrivere quello che ha scoperto nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto.
 
Descrizione delle conseguenze della vulnerabilità. Cosa accade quando si sfrutta la vulnerabilità.
 
Se disponibile, qui si può descrivere un approccio di soluzione.
 
Utilizzare ASCII (per esempio Markdown), pdf o png per la documentazione.
*
il quadro e le regole
*
di aver cercato di contattare le persone interessate se la mia richiesta è relativa a una pubblicazione CVE o se la mia segnalazione non è relazionata a con a un sistema dell'amministrazione federale.
 
Si prega di documentare i tentativi effettuati in precedenza per contattare le persone interessate, chi è stato contattato, quando, attraverso quali canali e quale è stata la loro risposta.

Informazioni personali (opzionale)

Qui può inserire le Sue informazioni personali. Questo ci permetterà di contattarla in caso di domande supplementari.

 
 
 
 
Può allegare la sua chiave pubblica PGP qui. Nota: Utilizzi l'estensione .pgp per il file della chiave PGP.
 


https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html