Preskočiť na menu Preskočiť na obsah Preskočiť na pätičku
Domovská stránka MF SR
EN

Nahlásiť zraniteľnosť

CSIRT MFSR rieši výhradne kybernetické bezpečnostné incidenty a zraniteľnosti, ktoré sa týkajú informačných systémov, infraštruktúry, dát alebo zneužitia mena Ministerstva financií SR. Hlásenia týkajúce sa incidentov zasahujúcich súkromné osoby alebo iné inštitúcie, najmä finančné podvody, internetové podvody alebo iné obdobné útoky, ktoré nemajú žiadnu spojitosť s Ministerstvom financií SR nepatria do pôsobnosti CSIRT MFSR a nebudú spracované.

Zraniteľnosť je možné nahlasovať nasledovnými spôsobmi:

  • e-mailom na oficiálnu adresu „incident(at)mfsr.sk“ (preferovaný spôsob nahlasovania),
  • telefonicky na kontaktné číslo +421 2 5958 5000 (len v pracovnom čase alebo v prípade kritických incidentov podľa dohody),
  • prostredníctvom zabezpečených komunikačných kanálov (napr. PGP šifrovaný e-mail),
  • osobným kontaktom na pracovisku CSIRT MFSR (po predchádzajúcej dohode).

V prípade potreby prosíme pri mailovej komunikácii priložiť prílohy a v prípade citlivých informácií  prosíme o šifrovanie pomocou nášho  PGP kľúča (asc, 4,77 kB) 

Pri nahlasovaní zraniteľností vás prosíme o čo najpodrobnejší popis procesu, ktorým Ste danú zraniteľnosť identifikovali. Dôvodom je jednoznačné identifikovanie a oddelenie Vašej aktivity od aktivít prípadných útočníkov, ktorí mohli danú zraniteľnosť zneužívať.

Pri hlásení zraniteľnosti vo všeobecnosti prosíme uviesť najmä nasledujúce informácie:

Podrobná štruktúra hlásenia zraniteľnosti:

  • Nutné minimum informácií:
    • Informácie o osobe, ktorá hlási zraniteľnosť:
      • kontaktné informácie vrátane možností bezpečnej komunikácie (PGP kľúč a pod.),
    • Informácie o spôsobe zistenia zraniteľnosti:
      • Presný dátum a čas, prípadne časový interval interakcie so službou/zariadením
      • Spôsob zistenia zraniteľnosti:
        • Navštívené stránky
        • IP adresa/adresy z ktorých bolo pristupované ku zraniteľnému zariadeniu/softvéru
        • prípadne vlastné prispôsobené skripty alebo serverové požiadavky
    • Informácie o zraniteľnosti:
      • čo najdetailnejší opis zraniteľnosti – o aký typ zraniteľnosti ide, aké akcie/útoky umožňuje a akým spôsobom je možné ju zneužiť (proof-of-concept)
      • typ zariadenia/softvéru, ktorého sa zraniteľnosť týka a jeho presná verzia
      • či bola daná zraniteľnosť už niekde nahlásená (napr. výrobcovi produktu, pridelenie CVE čísla...)
  • Ďalšie potrebné informácie:
    • Informácie o zraniteľnosti:
      • v prípade zraniteľnej konfigurácie systému, čo najpresnejší a jednoznačný popis danej konfigurácie
      • odhad závažnosti zraniteľnosti (napr. pomocou CVSS) a čo môže spôsobiť jej zneužitie
      • pokiaľ je to možné, informácie o súvisiacich záplatách a aktualizáciách
      • iné dôležité informácie, súvisiace so zraniteľnosťou.