Segnalazione di una falla di sicurezza (Coordinated Vulnerability Disclosure, CVD)

Avete scoperto una falla di sicurezza in un sistema informatico oppure in un’applicazione, un software o un hardware in commercio e volete segnalarla? La prima cosa da fare è informare direttamente il venditore o il proprietario del sistema. Tuttavia, se le organizzazioni non rispondono o la risposta non è soddisfacente, il Centro nazionale per la cibersicurezza (NCSC) può fungere da intermediario per risolvere tali problemi relativi alla sicurezza informatica.

Ci sono diversi modi per segnalare una falla di sicurezza (o vulnerabilità).

Le falle di sicurezza tecniche in sistemi informatici, applicazioni o un hardware della Confederazione possono essere segnalate all’NCSC tramite l’apposito modulo sotto riportato. Siete pregati di seguire la procedura standard di segnalazione di una falla.

Le falle di sicurezza in sistemi o prodotti informatici che non appartengono alla Confederazione ma che hanno ripercussioni sul Paese devono sempre essere segnalate in primo luogo al proprietario del sistema o al fornitore del prodotto. È necessario rivolgersi all’NCSC solamente se l’organizzazione non reagisce in modo adeguato. In tal caso, l’NCSC fungerà da intermediario e segnalerà nuovamente all’organizzazione interessata la falla di sicurezza individuata.

Se avete scoperto una vulnerabilità in applicazioni, software o hardware utilizzati da imprese svizzere, l’NCSC può coordinarne la pubblicazione quale servizio autorizzato ad assegnare numeri CVE .

Nota importante sui criteri CVE:

Per garantire un'elaborazione più rapida della sua domanda CVE, si assicuri di aver pianificato un riferimento pubblico in conformità ai requisiti MITRE. Questo riferimento deve almeno

• menzionare la vulnerabilità (almeno il numero CVE + le versioni interessate)
• essere accessibile da Internet.

Per accelerare il processo, la preghiamo di creare una bozza nel «Vulnogram» e di includere il risultato in JSON nella sua richiesta CVE.

Se la vulnerabilità segnalata riguarda un servizio cloud, si assicuri che sia eleggibile in base al requisito 7.4.4 delle Regole di assegnazione. «The vulnerability requires customer or peer action to resolve».

• Compilate il modulo sotto riportato indicando i dettagli della falla di sicurezza individuata. Inserite la chiave pubblica PGP in modo da garantire una comunicazione tempestiva e sicura con l’NCSC.
• Fornite il maggior numero di informazioni possibile affinché la falla possa essere riprodotta. Ciò permette di accelerare il processo di risoluzione del problema.
• Nel caso di falle più complesse probabilmente dovremo contattarvi direttamente, perciò indicate almeno un indirizzo e-mail o un numero di telefono.
• Per comunicare in forma criptata potete utilizzare la chiave PGP «vulnerability [at] ncsc.ch».