Avete scoperto una vulnerabilità in un sistema informatico o in applicazioni, software o hardware che ha un impatto sulla Svizzera e desiderate segnalarla? Esistono diversi modi per segnalare una vulnerabilità all'UFSC a seconda del tipo di sistema interessato.
I sistemi dell'amministrazione federale
Le falle di sicurezza tecniche in sistemi informatici, applicazioni o un hardware della Confederazione possono essere segnalate all'UFCS tramite l’apposito modulo sotto riportato. Siete pregati di seguire la le regole dell'UFSC relative alla divulgazione delle vulnerabilità per garantire la conformità della sua segnalazione.
I sistemi al di fuori dell'amministrazione federale
Se ha scoperto una vulnerabilità in un sistema o in un prodotto informatico che non appartiene all'amministrazione federale, ma che ha un impatto sulla Svizzera in generale, la vulnerabilità deve essere sempre segnalata in primo luogo al proprietario del sistema o al fornitore del prodotto.
Deve segnalare le vulnerabilità all'UFSC solo se non trova un punto di contatto o se le persone interessate non forniscono una risposta adeguata alla vulnerabilità.
Pubblicazione dei CVE(«common vulnerability and exposure»)
Se ha scoperto una vulnerabilità in un software o in un hardware utilizzato da aziende svizzere, l'UFSC in qualità di autorità abilitata ad assegnare numeri CVE (CNA), può coordinare la pubblicazione del CVE corrispondente.
Nota importante sui criteri per ottenere un CVE:
Per garantire un'elaborazione più rapida della sua richiesta CVE, la preghiamo di indicare se esiste un riferimento pubblico che conferma l'esistenza della vulnerabilità o se quest'ultima è stata pianificata da lei o dal fornitore in conformità con i requisiti MITRE.
Il riferimento deve almeno:
- citare la vulnerabilità (compreso l'ID CVE pianificato o esistente) e le versioni del prodotto interessate dalla vulnerabilità
- Essere accessibili al pubblico e non richiedere registrazione o login
In conformità con la legge federale sulla sicurezza delle informazioni, il UFCS può pubblicare informazioni relative alle vulnerabilità, indicando il software o l'hardware interessati, che potrebbero anche essere utilizzati come riferimento CVE a determinate condizioni (art. 73c, par. 1, par. 2).
Per accelerare il processo, crei una prima versione del CVE nel «Vulnogram», esporti in formato JSON e lo alleghi alla sua richiesta.
Se la vulnerabilità segnalata riguarda un servizio cloud, si assicuri che sia ammissibile secondo il requisito 7.4.4 delle regole di attribuzione: «La vulnerabilità richiede un'azione da parte del cliente o di un peer per essere risolta».
Come comunicarci una notifica di vulnerabilità?
- Compili il formulario sottostante descrivendo in dettaglio la sua scoperta. Indichi la sua chiave PGP pubblica in modo che l'UFCS possa contattarla direttamente in modo sicuro.
- Per le segnalazioni relative a sistemi esterni all'Amministrazione federale, confermi di aver cercato di contattare le persone interessate e indichi il punto di contatto negli appositi campi.
- Indichi se la sua richiesta è legata a una pubblicazione di CVE, in tal caso alleghi una prima versione e indichi se è già prevista la pubblicazione di un riferimento (vedi l'importante nota sui requisiti CVE).
- Fornisca quante più informazioni possibili in modo che l'UFCS possa riprodurre la vulnerabilità o almeno valutarne la validità sulla base del rapporto.
- L'UFCS potrebbe aver bisogno di comunicare direttamente con lei durante il follow-up di un caso. La preghiamo di fornire almeno un indirizzo e-mail (può sempre comunicare con noi in modo anonimo).
- Per la comunicazione cifrata, utilizzi la chiave PGP dell'indirizzo vulnerability [at] ncsc.ch.
PGP NCSC Vulnerability (ASC, 3 kB, 31.08.2021)E-Mail: vulnerability at ncsc.ch
Key ID: 0xBCBB3E225F16898A
Fingerprint: F25A B97C 779A 0C6A 0DE0 F356 BCBB 3E22 5F16 898A
SMIME NCSC Vulnerability (CER, 1 kB, 06.10.2022)E-Mail: vulnerability at ncsc.ch
Fingerprint: bc4563dc1e37b759cd83ffa72a0d4bed468340c2