Preskočiť na hlavný obsah

Kybernetická bezpečnosť

V podmienkach Úradu priemyselného vlastníctva Slovenskej republiky pristupujeme ku kybernetickej bezpečnosti zodpovedne. Vedenie úradu v bezpečnostnej politike deklarovalo plnú podporu pravidelnému zvyšovaniu úrovne zabezpečenia informačných systémov, ktoré sú v správe úradu.

 Zároveň vnímame, že bezpečnosť informačných systémov nie je statický stav, ale proces neustáleho preverovania a testovania. Rýchlosť reakcie na prípadnú zraniteľnosť alebo bezpečnostný incident zohráva kľúčovú rolu.

 Bezpečnostnú zraniteľnosť zistenú v jednom z našich informačných systémov, alebo identifikovaný kybernetický bezpečnostný incident, nám môžete nahlásiť zaslaním e-mailu na adresu incident(at)indprop.gov.sk. E-mailové hlásenie odporúčame zašifrovať PGP kľúčom na dôvernú komunikáciu:

(ASC, 687,0 B)

V hlásení zraniteľnosti je potrebné uviesť čo najviac informácií, ktoré môžu pomôcť pri jej následnej analýze a odstránení. Opis zraniteľnosti má obsahovať nasledujúce údaje:

  • vaše meno a kontaktné údaje,
  • váš verejný PGP kľúč na možnosť šifrovanej odpovede,
  • čas a spôsob zistenia zraniteľnosti,
  • či bola informácia o zraniteľnosti už niekde publikovaná,
  • typ softvéru alebo informačného systému, ktorého sa hlásená zraniteľnosť týka,
  • detailný opis chyby vrátane typu webového prehliadača a jeho nastavení – o aký typ zraniteľnosti ide (buffer overflow, XSS, nedostatočná autentifikácia a i.), unikátny dotaz alebo PoC kód,
  • IP adresa, z ktorej ste vykonali testovanie,
  • návrh riešenia a odstránenia zraniteľnosti (ak je známy).

 

Opis incidentu má obsahovať tieto údaje:

  • vaše meno a kontaktné údaje,
  • váš verejný PGP kľúč na možnosť šifrovanej odpovede,
  • názov incidentu a jeho typ,
  • detailný opis incidentu,
  • dátum a čas začiatku incidentu (ak je známy),
  • dátum, čas a spôsob zistenia incidentu,
  • informáciu, či ide o závažný kybernetický bezpečnostný incident podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a kategóriu incidentu,
  • informáciu, či ide o nahlásenie incidentu, ktorý narušil dostupnosť, dôvernosť alebo integritu a je nutná ďalšia analýza,
  • pri opise incidentu uveďte čo najviac informácií, ktoré by mohli pomôcť pri jeho analýze a následnom spracovaní.

 

Aktuálne nemáme otvorený Bug Bounty program, ale oceníme, ak nám nahlásite akúkoľvek závažnú zraniteľnosť identifikovanú v našich informačných systémoch a prispejete tým k zvýšeniu celkovej úrovne kybernetickej bezpečnosti Úradu priemyselného vlastníctva Slovenskej republiky.