Condizioni quadro e regole

La scoperta e la segnalazione di vulnerabilità può avere conseguenze civili e penali. I rischi associati possono essere ridotti se osserva le seguenti regole:

Quando contattate l’UFCS per segnalare una falla di sicurezza
(«coordinated vulnerability disclosure», CVD):

  • durante il processo di segnalazione, discutete della lacuna individuata soltanto con il produttore interessato, il proprietario del sistema e l'UFCS;
  • non rendete pubblica la falla fino a quando alle parti interessate non sia stato concesso il tempo necessario per porvi rimedio oppure fino a quando non sarete d’accordo sulla soluzione proposta con le parti coinvolte, compreso l'UFCS;
  • dopo aver segnalato la falla all’UFCS, non interagite ripetutamente con il sistema interessato durante il processo;
  • non sfruttate le vulnerabilità per scaricare, modificare o cancellare dati oltre lo stretto indispensabile per fornire una prova di fattibilità;
  • non tentate di acquisire diritti o di esplorare il sistema oltre lo stretto necessario per fornire una prova di fattibilità;
  • non trafugate dati di altri utenti, usate solamente il vostro account per eseguire dei test;
  • non tentate di ottenere l’accesso a un sistema con metodi forza bruta («brute force») o tecniche di ingegneria sociale;
  • non ricorrete ad attacchi DoS («denial of service»);
  • non installate malware o virus;
  • se possibile, specificate nella segnalazione a quale indirizzo IP eravate connessi nel momento in cui avete scoperto la vulnerabilità. In questo modo sarà più facile valutare eventuali exploit e ridurre i falsi positivi durante i test;
  • comunicate le vostre intenzioni all'UFCS se desiderate rendere noto pubblicamente ciò che avete scoperto (avvertenza, conferenza, articolo, ecc.).

Cosa dovete attendervi dal nostro programma CVD:

  • se la falla di sicurezza nei sistemi della Confederazione viene segnalata seguendo le regole prestabilite di cui sopra e l’autore della segnalazione agisce in buona fede, né con intento fraudolento né con l’intenzione di nuocere, l'UFCS non intraprenderà alcuna azione civile o penale nei suoi confronti;
  • le vulnerabilità possono essere segnalate all’UFCS in forma anonima;
  • l’UFCS tratta le segnalazioni in modo confidenziale e, senza previo consenso, non condivide i dati personali degli autori delle segnalazioni o delle organizzazioni interessate;
  • previo consenso, l’UFCS menziona il nome della persona che ha individuato la falla di sicurezza;
  • l’autore della segnalazione riceve una conferma di ricezione entro tre giorni lavorativi. L'UFCS tratta il rapporto entro cinque giorni lavorativi;
  • se la vulnerabilità ha un impatto sulla Confederazione, l’UFCS cerca di coordinare una soluzione entro 60 giorni dalla segnalazione;
  • a seconda dell’organizzazione coinvolta e della natura della vulnerabilità identificata, l’UFCS informa l’organizzazione interessata in merito alla vulnerabilità. Tuttavia, il proprietario del sistema informatico rimane responsabile del sistema e delle potenziali correzioni;
  • se possibile, l’UFCS informa le parti coinvolte sui progressi e sulla soluzione prevista;
  • l’UFCS coordina un’eventuale pubblicazione della CVE con tutte le parti coinvolte;
  • al momento, il programma CVD dell’UFCS non offre alcuna ricompensa a chi effettua la segnalazione.

Ultima modifica 01.01.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden/scope-and-rules.html