Rapportering av sårbarheter via ansvarsfull sårbarhetsredovisning

Vattenfall ägnar stor uppmärksamhet åt informations- och kommunikationssystemens säkerhet. Trots detta kan svaga punkter finnas och uppstå: en säkerhetsrisk.

Det är olagligt att missbruka en säkerhetsrisk eller att informera tredje part om sådan risk så att det kan leda till missbruk.

Principen om ansvarsfull sårbarhetsredovisning kommer att tillämpas för att undvika att angripare utnyttjar identifierade sårbarheter. Denna princip garanterar samordnat och betrott samarbete mellan den som lämnat uppgifter om sårbarheten och Vattenfall.

Tillämpbarhet

En person eller enhet som upptäcker en sårbarhet ska göra följande för att ansvarsfull sårbarhetsredovisning ska vara tillämpbar:

  • Rapportera en (möjlig) sårbarhet till Vattenfall genom att fylla i onlineformuläret. Tillhandahålla så mycket information som möjligt, inklusive typ av sårbarhet, information om den berörda tjänsten, beskrivning som krävs för att återskapa upptäckten. Rapportering kan ske anonymt.

  • Använd inte sårbarheten, exempelvis genom att kopiera eller ändra data eller genom att avsiktligt påverka tjänstens tillgänglighet.

  • Alla aktiviteter som rör sårbarhetsidentifikationen måste ske enligt gällande lagstiftning.

  • Sårbarheten får inte göras känd för tredje part; all kommunikation ska samordnas av Vattenfall.

  • Om ovanstående villkor är uppfyllda kommer Vattenfall inte att vidta några rättsliga åtgärder mot uppgiftslämnaren.

  • I händelse av en icke-anonym rapport kommer Vattenfall att informera uppgiftslämnaren om Vattenfalls tillvägagångssätt för att åtgärda sårbarheten och kommer att hålla uppgiftslämnaren uppdaterad om framstegen.

  • Beroende på hur allvarligt säkerhetsproblemet är och rapportens kvalitet, kan Vattenfall besluta om att uttrycka sin uppskattning och/eller offentligt hedra uppgiftslämnaren.

Vattenfall anser att säkerhet, tillförlitlighet och ärlighet är av största vikt. Detta gäller såväl Vattenfalls aktiviteter som energiföretag som företagets roll i samhället. Ditt ärliga bidrag till att öka säkerheten och tillförlitligheten är mycket uppskattat!

Rapportera säkerhetsproblem

Vattenfall kommer inte att försöka identifiera en anonym uppgiftslämnare under förutsättning att uppgiftslämnaren inte använder sin kunskap om sårbarheten och att denna kunskap inte delas med tredje part.

Senast uppdaterad: 2016-06-13 11:18