Politika spoločnosti ESET o koordinovanom zverejňovaní informácií o zraniteľnostiach

Ako vývojári bezpečnostného softvéru si v spoločnosti ESET uvedomujeme dôležitosť bezpečnosti a ochrany súkromia nielen našich zákazníkov, ale všetkých používateľov technológií. Ceníme si dôveru, ktorú zákazníci vkladajú do našich produktov a služieb, preto sa usilujeme chrániť ich bezpečnosť a súkromie pri riešení akýchkoľvek problémov, ktoré nám nahlásia. A aj keď v spoločnosti ESET rešpektujeme legitímne obchodné záujmy iných dodávateľov hardvéru, softvéru a služieb, ak počas výskumu odhalíme zraniteľnosti v ich produktoch, v prvom rade hľadíme na to, aby sme zabezpečili najlepšiu možnú ochranu nášho spoločného digitálneho sveta. Veríme, že najúčinnejšie to dosiahneme prostredníctvom koordinovaného zverejňovania informácií o zraniteľnostiach.

Nahlasovanie bezpečnostných problémov spoločnosti ESET

Vážime si čas a úsilie nezávislých odborníkov na IT bezpečnosť a snažíme sa s nimi spolupracovať na zlepšovaní našich produktov a služieb. Ak chcete nahlásiť bezpečnostný problém v produkte alebo službe ESET, navštívte našu stránku Nahlásenie bezpečnostných zraniteľností. Náš bezpečnostný tím sa pokúsi odpovedať do troch pracovných dní. Veríme, že koordinovaným zverejňovaním informácií dokážeme v najvyššej možnej miere ochrániť čo najviac používateľov technológií. Preto vám navrhujeme zaujať podobný prístup, aký uplatňujú naši výskumníci pri nahlasovaní zraniteľností, ktoré objavíme v produktoch a službách ostatných dodávateľov. Naša politika zverejňovania takýchto informácií je opísaná ďalej.

Politika koordinovaného zverejňovania informácií o zraniteľnostiach

Proces koordinovaného zverejňovania informácií o zraniteľnostiach podnecuje výskumníkov a dodávateľov k tomu, aby svoje činnosti koordinovali, a to s dôrazom na včasné poskytovanie najlepšej úrovne ochrany pre čo najširšiu škálu používateľov technológií. Ak odhalíme zraniteľnosť v produkte alebo službe tretej strany, budeme sa zo všetkých síl snažiť spojiť sa s daným dodávateľom, spolupracovať s ním na vhodnom riešení a zamedziť zverejneniu informácií o zraniteľnosti až do chvíle, kým dodávateľ nevydá aktualizovanú verziu alebo kým neuplynie 90 dní od nadviazania prvého kontaktu s dodávateľom, podľa toho, čo nastane skôr. Ak komunikácia s dodávateľom nebude uspokojivá, po 90 dňoch od nášho prvého pokusu spojiť sa s ním zverejníme informácie o zraniteľnosti.

Zaväzujeme sa, že sa nikdy nebudeme snažiť finančne profitovať z akejkoľvek zraniteľnosti, ktorú odhalíme, a že budeme dodržiavať zásady koordinovaného zverejňovania informácií uvedené v tejto politike.

Všetka komunikácia súvisiaca so zraniteľnosťami, ktoré odhalia výskumníci spoločnosti ESET, by mala byť adresovaná na vulnerability.disclosures@eset.com.


Odhalenie zraniteľností a správa o nich

Výskumníci spoločnosti ESET môžu odhaliť zraniteľnosti v produktoch alebo službách tretích strán pri rôznych príležitostiach. Často k tomu dochádza počas výskumu špeciálne zameraného na zraniteľnosti, ale aj pri analýze podozrivého a škodlivého softvéru, v dôsledku nesprávne nakonfigurovaných služieb, ktoré môžu byť zneužité na prístup k súkromným údajom, atď.

Keď výskumníci spoločnosti ESET odhalia možnú zraniteľnosť alebo nesprávne nakonfigurovanú službu, budú postupovať takto:

  • Pokúsia sa spojiť sa s príslušnými kontaktnými osobami pre daný produkt alebo službu, a to aj prostredníctvom štandardných funkčných e‑mailových adries (secure@<doména>, security@<doména>), využitím údajov získaných z metadát security.txt domény, prostredníctvom technickej podpory alebo podobných kontaktov, ktoré je možné ľahko vyhľadať v produkte alebo službe, dokumentácii alebo na webovej stránke dodávateľa, účtov na sociálnych sieťach či akýchkoľvek iných spôsobov, pomocou ktorých sa nám už predtým podarilo s príslušným dodávateľom spojiť.
  • Zisteným kontaktom bude zaslaná správa o zraniteľnosti, v ktorej sú opísané dotknuté produkty alebo služby, samotná zraniteľnosť, informácie o tom, ako sa dá zneužiť a či už k tomu v súčasnosti nedochádza, posúdenie vplyvu zraniteľnosti a prípadne aj návrhy na zmiernenie rizika alebo nápravu. Správa o zraniteľnosti bude obsahovať aj odkaz na túto politiku, ponuku akejkoľvek ďalšej pomoci, ktorú by sme mohli tretej strane poskytnúť, a vyhlásenie o našom zámere túto správu zverejniť.
  • Dodávateľ by mal na túto správu zareagovať, a to aj keby len chcel naše tvrdenie o zraniteľnosti spochybniť alebo požiadať o viac podrobností.
  • Ak do siedmich kalendárnych dní nedostaneme žiadnu odpoveď, zisteným kontaktom znova pošleme rovnakú správu a zároveň sa pokúsime vyhľadať ďalšie kontaktné osoby, ktoré by sme mohli o zraniteľnosti informovať. Kontaktné údaje si môžeme vyžiadať od iných výskumníkov v oblasti bezpečnosti, s ktorými pravidelne spolupracujeme, a/alebo od regionálnych, sektorových alebo národných tímov CERT a podobných organizácií. S výnimkou informovania daných kontaktných osôb o tom, že plánujeme zverejniť informácie o bezpečnostnej zraniteľnosti, uchováme všetky dôležité podrobnosti o zraniteľnosti v tajnosti a zároveň budeme pátrať po ďalších možných kontaktoch.
  • Znova pripomíname, že by sa malo postupovať v súlade so zásadami kooperácie, a teda dodávateľ by mal odpovedať.
  • Ak do 14 kalendárnych dní nedostaneme odpoveď, môžeme sa pokúsiť kontaktovať daného dodávateľa telefonicky.
  • Ak žiadny z týchto pokusov o nadviazanie kontaktu neprinesie uspokojivú odpoveď, po 90 kalendárnych dňoch od prvého pokusu spojiť sa s dotknutým dodávateľom zverejníme informácie o zraniteľnosti. Odpoveď na našu správu o zraniteľnosti v podobe právnych hrozieb sa bude považovať za neuspokojivú. Úprimne chceme pomôcť vám a vašim zákazníkom dosiahnuť lepšiu bezpečnosť alebo ochranu osobných údajov. V tejto súvislosti nám nejde o žiadny finančný zisk.
  • Ak dodávateľ uspokojivo zareaguje na ktorýkoľvek z pokusov o nadviazanie kontaktu, budeme s ním spolupracovať tak, ako je opísané ďalej.


Zmiernenie rizika a časová os

Len čo dodávateľ odpovie na informáciu o zraniteľnosti a prejaví ochotu danú situáciu riešiť, výskumníci spoločnosti ESET s ním budú spolupracovať až po dobu 90 kalendárnych dní odo dňa, keď nám dodávateľ odpovedal. Po 90 dňoch alebo skôr (ak dôjde k náprave atď.) zverejníme informácie o zraniteľnosti.

  • Dodávateľov, samozrejme, vyzývame, aby situáciu s bezpečnostnými zraniteľnosťami vyriešili v čo najkratšom čase. Zároveň si však uvedomujeme, že prílišné zameranie sa na urýchlenie nápravy nemusí priniesť úplne optimálny výsledok. Dôraz kladieme na to, aby sa čo najviac zlepšila celková bezpečnosť alebo ochrana osobných údajov, takže rýchlosť zmierňovania rizika je vždy o dosiahnutí rovnováhy.
  • Vo všeobecnosti sa zaväzujeme nezverejňovať informácie o zraniteľnosti po dobu 90 kalendárnych dní od prijatia počiatočnej odpovede od dodávateľa, 90 dní od prvého pokusu o kontaktovanie dodávateľa v prípade, že od neho nedostaneme žiadnu odpoveď alebo dodávateľ nereaguje uspokojivo a nie je ochotný spolupracovať, prípadne ich zverejníme skôr v koordinácii s dodávateľom, ktorý vydá príslušnú aktualizáciu alebo bezpečnostnú záplatu.
  • Vyhradzujeme si však právo kedykoľvek zverejniť informácie o zraniteľnosti v závislosti od rôznych faktorov, okrem iného vtedy, ak dodávateľ pri vydaní aktualizácie nespolupracuje, ak podrobnosti o zraniteľnosti nezávisle zverejnia iní výskumníci, ak odhalíme zraniteľnosť zneužívanú pri útokoch v reálnom svete alebo ak je vplyv zraniteľnosti výrazne horší, ako sa pôvodne predpokladalo.
  • Ak si napríklad myslíme, že je vo verejnom záujme tieto informácie okamžite zverejniť (napríklad dochádza k aktívnemu zneužívaniu zraniteľnosti s vážnymi následkami), vyhradzujeme si právo urobiť tak do siedmich kalendárnych dní od prvého pokusu o upovedomenie dodávateľa, prípadne ešte skôr v mimoriadne naliehavých prípadoch, napríklad ak ide o počítačového červa, ktorý zneužíva zero‑day zraniteľnosť v sieti a šíri sa cez internet. V takýchto prípadoch tento zámer jasne vyjadríme v správe o zraniteľnosti zaslanej dodávateľovi.
  • Vo výnimočných prípadoch môžeme podľa vlastného uváženia poskytnúť dodávateľovi viac ako 90 dní. Dodávatelia, ktorí potrebujú viac času na vývoj, testovanie a vydanie vhodných opatrení na zmiernenie rizík, by nás mali o tom informovať v čo najskoršej fáze koordinovaného zverejňovania informácií.
  • Na záver si vyhradzujeme možnosť informovať o odhalenej zraniteľnosti dôveryhodnú tretiu stranu, ako je CSIRT, národný tím CERT alebo vhodné sektorové združenie (napr. FS‑ISAC, ICASI), ktorá nám pomôže pri koordinovanom zverejňovaní informácií alebo tieto informácie sama zverejní. V druhom prípade sa namiesto tejto politiky budú uplatňovať politiky zverejňovania informácií danej organizácie.