Segnalazione di una falla di sicurezza (Coordinated Vulnerability Disclosure, CVD)

Avete scoperto una falla di sicurezza in un sistema informatico oppure in un’applicazione, un software o un hardware in commercio e volete segnalarla? La prima cosa da fare è informare direttamente il venditore o il proprietario del sistema. Tuttavia, se le organizzazioni non rispondono o la risposta non è soddisfacente, L'UFCS può fungere da intermediario per risolvere tali problemi relativi alla sicurezza informatica.

Ci sono diversi modi per segnalare una falla di sicurezza (o vulnerabilità).

Risorse della Confederazione

Le falle di sicurezza tecniche in sistemi informatici, applicazioni o un hardware della Confederazione possono essere segnalate all'UFCS tramite l’apposito modulo sotto riportato. Siete pregati di seguire la procedura standard di segnalazione di una falla.

Risorse esterne alla Confederazione

Le falle di sicurezza in sistemi o prodotti informatici che non appartengono alla Confederazione ma che hanno ripercussioni sul Paese devono sempre essere segnalate in primo luogo al proprietario del sistema o al fornitore del prodotto. È necessario rivolgersi all’UFCS solamente se l’organizzazione non reagisce in modo adeguato. In tal caso, l’UFCS fungerà da intermediario e segnalerà nuovamente all’organizzazione interessata la falla di sicurezza individuata.

Pubblicazione delle CVE («common vulnerability and exposure»)

Nota importante sui criteri CVE:

Per garantire un'elaborazione più rapida della sua domanda CVE, si assicuri di aver pianificato un riferimento pubblico in conformità ai requisiti MITRE. Questo riferimento deve almeno

  • menzionare la vulnerabilità (almeno il numero CVE + le versioni interessate)
  • essere accessibile da Internet.

Per accelerare il processo, la preghiamo di creare una bozza nel «Vulnogram» e di includere il risultato in JSON nella sua richiesta CVE.

Se la vulnerabilità segnalata riguarda un servizio cloud, si assicuri che sia eleggibile in base al requisito 7.4.4 delle Regole di assegnazione. «The vulnerability requires customer or peer action to resolve».

Come potete segnalarci una CVD?

  • Compilate il modulo sotto riportato indicando i dettagli della falla di sicurezza individuata. Inserite la chiave pubblica PGP in modo da garantire una comunicazione tempestiva e sicura con l’UFCS.
  • Fornite il maggior numero di informazioni possibile affinché la falla possa essere riprodotta. Ciò permette di accelerare il processo di risoluzione del problema.
  • Nel caso di falle più complesse probabilmente dovremo contattarvi direttamente, perciò indicate almeno un indirizzo e-mail o un numero di telefono.
  • Per comunicare in forma criptata potete utilizzare la chiave PGP «vulnerability [at] ncsc.ch».

PGP NCSC Vulnerability (ASC, 3 kB, 31.08.2021)E-Mail: vulnerability at ncsc.ch
Key ID: 0xBCBB3E225F16898A
Fingerprint: F25A B97C 779A 0C6A 0DE0 F356 BCBB 3E22 5F16 898A

SMIME NCSC Vulnerability (CER, 1 kB, 06.10.2022)E-Mail: vulnerability at ncsc.ch
Fingerprint: bc4563dc1e37b759cd83ffa72a0d4bed468340c2


Notifica dei Vulnerabilità

*
Breve descrizione della vulnerabilità (massimo 250 caratteri).
 
Descrizione livelli di gravità vedi sotto https://www.first.org/cvss/calculator/3.0.
*
La invitiamo a descrivere quello che ha scoperto nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto.
 
Descrizione delle conseguenze della vulnerabilità. Cosa accade quando si sfrutta la vulnerabilità.
 
Se disponibile, qui si può descrivere un approccio di soluzione.
 
Utilizzare ASCII (per esempio Markdown), pdf o png per la documentazione.
*

Informazioni personali (opzionale)

Qui può inserire le Sue informazioni personali. Questo ci permetterà di contattarla in caso di domande supplementari.

 
 
 
 
Può allegare la sua chiave pubblica PGP qui. Nota: Utilizzi l'estensione .pgp per il file della chiave PGP.
 


Ultima modifica 01.01.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html