Rapportering av sårbarheter

Retningslinje for ansvarlig rapportering av sårbarheter

Hvis du oppdager sårbarheter i våre eller våre aktørers systemer, ønsker vi å vite om det slik at vi kan rette disse så raskt som mulig.

 

Vi ber om at du:

  • Rapporterer funn til post@justiscert.no. Krypter helst eposten med vår PGP-nøkkel slik at informasjonen ikke kan leses av andre.
  • Inkluderer nok informasjon til at vi kan verifisere/gjenskape dine funn
  • Gir oss tid til å rette dine funn og ikke deler informasjon om sårbarhetene med andre før de er blitt lukket
  • Følger prinsippet «Do no harm» og ikke utnytter sårbarheten. Du skal f.eks. ikke hente ut mer informasjon enn det som er nødvendig for å demonstrere sårbarheten eller endre sårbare systemer/data i sårbare systemer.

 

JustisCERT vil:

  • Følge opp dine funn og holde deg orientert om status frem til saken er løst
  • Kreditere deg for dine funn der det er mulig
  • Ikke rettsforfølge noen som oppdager og rapporterer sårbarheter i henhold til denne retningslinjen og prinsippene «Do no harm»
  • Beskytte dine personopplysninger etter gjeldende lover og regler