Kybernetická bezpečnosť
V podmienkach Úradu priemyselného vlastníctva Slovenskej republiky pristupujeme ku kybernetickej bezpečnosti zodpovedne. Vedenie úradu v bezpečnostnej politike deklarovalo plnú podporu pravidelnému zvyšovaniu úrovne zabezpečenia informačných systémov, ktoré sú v správe úradu.
Zároveň vnímame, že bezpečnosť informačných systémov nie je statický stav, ale proces neustáleho preverovania a testovania. Rýchlosť reakcie na prípadnú zraniteľnosť alebo bezpečnostný incident zohráva kľúčovú rolu.
Bezpečnostnú zraniteľnosť zistenú v jednom z našich informačných systémov, alebo identifikovaný kybernetický bezpečnostný incident, nám môžete nahlásiť zaslaním e-mailu na adresu incident(at)indprop.gov.sk. E-mailové hlásenie odporúčame zašifrovať PGP kľúčom na dôvernú komunikáciu:
V hlásení zraniteľnosti je potrebné uviesť čo najviac informácií, ktoré môžu pomôcť pri jej následnej analýze a odstránení. Opis zraniteľnosti má obsahovať nasledujúce údaje:
- vaše meno a kontaktné údaje,
- váš verejný PGP kľúč na možnosť šifrovanej odpovede,
- čas a spôsob zistenia zraniteľnosti,
- či bola informácia o zraniteľnosti už niekde publikovaná,
- typ softvéru alebo informačného systému, ktorého sa hlásená zraniteľnosť týka,
- detailný opis chyby vrátane typu webového prehliadača a jeho nastavení – o aký typ zraniteľnosti ide (buffer overflow, XSS, nedostatočná autentifikácia a i.), unikátny dotaz alebo PoC kód,
- IP adresa, z ktorej ste vykonali testovanie,
- návrh riešenia a odstránenia zraniteľnosti (ak je známy).
Opis incidentu má obsahovať tieto údaje:
- vaše meno a kontaktné údaje,
- váš verejný PGP kľúč na možnosť šifrovanej odpovede,
- názov incidentu a jeho typ,
- detailný opis incidentu,
- dátum a čas začiatku incidentu (ak je známy),
- dátum, čas a spôsob zistenia incidentu,
- informáciu, či ide o závažný kybernetický bezpečnostný incident podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a kategóriu incidentu,
- informáciu, či ide o nahlásenie incidentu, ktorý narušil dostupnosť, dôvernosť alebo integritu a je nutná ďalšia analýza,
- pri opise incidentu uveďte čo najviac informácií, ktoré by mohli pomôcť pri jeho analýze a následnom spracovaní.
Aktuálne nemáme otvorený Bug Bounty program, ale oceníme, ak nám nahlásite akúkoľvek závažnú zraniteľnosť identifikovanú v našich informačných systémoch a prispejete tým k zvýšeniu celkovej úrovne kybernetickej bezpečnosti Úradu priemyselného vlastníctva Slovenskej republiky.