Ievainojamību atklāšanas politika

Publicēts: 23.02.2024.

Latvijas Banka iesaistījusies Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV koordinētajā iniciatīvā, kuras ietvaros valsts pārvaldes iestādes sniedz iespēju informācijas tehnoloģiju drošības (kiberdrošības) pētniekiem identificēt nepilnības un ievainojamības šo iestāžu publiski pieejamajās tīmekļvietnēs.

Latvijas Banka atbalsta ievainojamību un drošības nepilnību atklāšanas labo praksi un paredz iespēju kiberdrošības pētniekiem identificēt nepilnības un ievainojamības Latvijas Bankas oficiālajā tīmekļvietnē www.bank.lv un ekonomiskās izglītotības vietnē www.naudasskola.lv.

Latvijas Bankas ievainojamību atklāšanas politika nosaka vadlīnijas tīmekļvietnes www.bank.lv un www.naudasskola.lv ievainojamību un drošības nepilnību atklāšanai un ziņojumu par tām iesniegšanai.

Ievainojamību atklāšanas politika attiecas tikai uz Latvijas Bankas oficiālo tīmekļvietni www.bank.lv un ekonomiskās izglītotības vietni www.naudasskola.lv. Citu Latvijas Bankas tīmekļvietņu, resursu un sistēmu testēšana šīs iniciatīvas ietvaros nav atļauta.

Ja Jums ir kādi jautājumi pirms testēšanas sākšanas, lūdzu, sazinieties ar Latvijas Banku, rakstot uz e-pasta adresi Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt..

Nav atļauti šādi testēšanas veidi:

  • veikt sociālās inženierijas uzbrukumus;
  • izmantot ievainojamību, lai piekļūtu informācijai (izņemot tikai minimāli iespējamā apjomā, lai pierādītu ievainojamības esamību);
  • izmantot ievainojamību, lai izņemtu, grozītu vai dzēstu informāciju;
  • mēģināt ietekmēt pakalpojumu pieejamību, izmantojot pakalpojuma atteices (DoS, DDoS) uzbrukumu;
  • paroļu robotizēta minēšana/piemeklēšana.

Pārtrauciet testēšanu un nekavējoties sazinieties ar Latvijas Banku iepriekš minētajā veidā, ja testēšanas laikā saskaraties ar kādu no šādiem informācijas veidiem:

  • personu identificējoša informācija;
  • finanšu informācija, piemēram, bankas konta vai kredītkartes numuri;
  • komercnoslēpumi vai īpašumtiesību informācija.

Latvijas Banka apņemas neveikt tiesiskas darbības pret godprātīgiem kiberdrošības pētniekiem un personām, kuras:

  • ievēro šo politiku testēšanas laikā;
  • iesaistās testēšanā, nekaitējot Latvijas Bankas un servisu darbībai un/vai tās klientiem;
  • atturas no jebkādas atklāto drošības nepilnību detaļu izpaušanas, pirms beidzas abpusēji saskaņotais termiņš;
  • ievēro Latvijas un savas atrašanās vietas valsts likumus.

Ziņojuma iesniegšana Latvijas Bankai

Ziņojums par atklātajām ievainojamībām un drošības nepilnībām Latvijas Bankai iesniedzams, rakstot uz e-pasta adresi Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt. vai izmantojot CERT ievainojamību ziņošanas platformu cvd.cert.lv.

Lai Latvijas Banka varētu sekmīgi izskatīt ziņojumu un ieviest nepieciešamos uzlabojumus, ziņojumam jābūt pārskatāmam un strukturētam. Tas jāsagatavo latviešu vai angļu valodā. Ziņojumā jāiekļauj norādes par katras atklātās ievainojamības atrašanās vietu un tās ietekmi, kā arī apraksts par ievainojamības iespējamo novēršanu.

Ziņojumā jāiekļauj secīgu darbību apraksts ar tādu detalizāciju, kas ļauj atkārtot ievainojamību. Ja iespējams, jāpievieno konceptuāli skripti, ekrānuzņēmumi vai citi grafiski elementi plašākai detalizācijai.

Informācija par atklāto ievainojamību nedrīkst tikt publiskota pirms ievainojamības novēršanas. Pirms informācijas publiskošanas iesaistītās puses vienojas par to, kad un kādā apjomā tā publiskojama.

Latvijas Banka apņemas sniegt atbildi uz iesniegto ziņojumu četru darba dienu laikā. Situācijas risināšanai sarežģītākos gadījumos paredzēta iespēja ar ziņojuma iesniedzēju uzsākt dialogu ievainojamības novēršanai.

Latvijas Banka patur tiesības kopīgot iegūto informāciju ar neitrālu trešo pusi, piemēram, CERT.LV, lai saņemtu palīdzību identificētās ievainojamības novēršanai.

Latvijas Banka pateicas kiberdrošības pētniekiem par veltīto laiku un ziņojumiem, kas palīdz pilnveidot Latvijas Bankas oficiālās tīmekļvietnes drošību, taču nenodrošinās finansiālu atlīdzību.

Papildu informācija

  1. Par rīcību informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumā – Informācijas tehnoloģiju drošības likuma prim panta otrā un trešā daļa.
  2. Par koordinētu ievainojamību atklāšanas procesu valsts pārvaldē – Informatīvais ziņojums “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē”.
  3. Ievainojamību ziņošanas platforma, kas paredzēta valsts pārvaldes iestāžu resursos identificēto ievainojamību ziņošanai un ziņojumu apstrādei (https://cvd.cert.lv/).
Apmeklētājiem