melchl
commented
3 years ago b. Hinweise auf der Grundlage von Versuchen zum Eindringen in das System im Rahmen von öffentlichen Tests.
Heisst das, dass die kantonale Infrastruktur im Scope von öffentlichen Tests ist? Siehe -->
Art. 2 Begriffe 1 Die folgenden Ausdrücke bedeuten: a. System: Gesamtheit der Software und der Infrastrukturen, die für die Durchführung von elektronischen Urnengängen verwendet werden;
Oder bedeutet das bloss, dass im Rahmen von öffentlichen Tests auch ein Kanal zur Meldung von Testergebnissen vorhanden sein muss?
3 Der Kanton sorgt dafür, dass Hinweise, die einen Bezug zur Sicherheit haben und die zu Verbesserungen des Systems beitragen, angemessen finanziell entgolten werden.
Ob das auch für kantonale Angestellte gilt? PRO: - Gewisse Schwachstellen sind von ausserhalb der kantonalen Verwaltung (legal) unsichtbar. Das Bug Bounty würde um einen relevanten und interessanten Scope erweitert. CONTRA: - Sollen selbst die kantonalen Prüfer (Evoting Profis) für jedes identifizierte Problem eine Bug Bounty Prämie erhalten? Lösungsansatz: Genauer Differenzieren. Verschiedene Bug Bounty Scopes erfordern verschieden hohe Prämien.
dune73
Wortlaut der Vorlage
Art. 13 Einbezug der Öffentlichkeit 1 Der Kanton sorgt dafür, dass interessierte Personen aus der Öffentlichkeit Hinweise für die Verbesserung des Systems einreichen können, darunter: a. Hinweise zu Mängeln in den offengelegten Unterlagen nach Artikel 11 (#26); b. Hinweise auf der Grundlage von Versuchen zum Eindringen in das System im Rahmen von öffentlichen Tests. 2 Er bezeichnet für die Organisation und die Abwicklung des Einbezugs interessierter Personen aus der Öffentlichkeit eine zuständige Stelle. Diese wertet die Hinweise aus und informiert die hinweisgebende Person über ihre Einschätzung und allfällige Massnahmen, die gestützt auf den Hinweis getroffen werden. Diese Informationen werden publiziert. 3 Der Kanton sorgt dafür, dass Hinweise, die einen Bezug zur Sicherheit haben und die zu Verbesserungen des Systems beitragen, angemessen finanziell entgolten werden.
Referenzen
Art. 13 Einbezug der Öffentlichkeit Mit vorliegendem Artikel werden die Grundsätze eines Bug-Bounty-Programms geregelt, das eine Massnahme in Umsetzung von Artikel 27m Absatz 1 E-VPR darstellt. Die Kantone sollen nach Möglichkeit weitere Massnahmen ergreifen, um finanzielle und nicht-finanzielle Anreize zu setzen. Abs. 1: Grundsätzlich sorgen die Kantone dafür, dass interessierte Personen aus der Öffentlichkeit Hin-weise zur Verbesserung des Systems einreichen können (Bug-Bounty-Programm). Das Bug-Bounty-Programm soll frühzeitig vor der Einreichung eines definitiven Gesuchs auf Grundbewilligung des Bundesrates gestartet werden. Rund sechs Monate vor dem geplanten Einsatz werden als sinnvoll erachtet. Das Bug-Bounty-Programm sieht ein ständiges Programm zur Fehlersuche (Bst. a) sowie einen wiederkehrenden Internet-Test (Bst. b) vor.
Abs. 1 Bst. a: Suche von Fehlern in der offengelegten Dokumentation oder dem offengelegten Quellcode und Suche nach Fehlern durch Analyse des lauffähigen Systems in der eigenen Infrastruktur. Dieses Programm zur Fehlersuche läuft ununterbrochen.
Abs. 1 Bst. b: Die Zielsetzung dieses sogenannten Internet-Tests besteht ausschliesslich im Eindringen in die Infrastruktur. Denial-of-Service- (DoS) und Social-Engineering-Angriffe können vom Bug-Bounty-Programm ausgeschlossen werden. Der Internet-Test kann entweder als ständiges Programm oder als wiederkehrender Test mit beschränkter Laufzeit umgesetzt werden. Die Teilnahme am Bug-Bounty-Programm richtet sich nach den Modalitäten in Artikel 12 E-VEleS (#27).
Abs. 2: Die zu bezeichnende Stelle für die Abwicklung des Bug-Bounty-Programms kann der Systembe-treiber oder eine externe Firma sein. Diese Stelle ermöglicht die Durchführung des Programms, nimmt Meldungen entgegen und übernimmt die Kommunikation mit der Person, die den Hinweis eingereicht hat. Sie ist über die Entscheide zum Umgang mit dem Hinweis und allfällige Massnahmen zu informieren. Ausserdem sind die Informationen zu eingegangenen Hinweisen zu publizieren. Folgende Informationen werden publiziert: Information zum Inhalt des Hinweises, Angabe der Quelle des Hinweises (sofern die hinweisgebende Person oder Institution einverstanden ist), Einschätzung der für das Bug-Bounty-Programm zuständigen Stelle und Informationen zu allfälligen Massnahmen, die gestützt auf den Hinweis getroffen werden.
Abs. 3: Nicht nur Hinweise mit einem direkten, sondern auch mit einem mittelbaren Bezug zur Sicherheit sind zu entschädigen, sofern sie zur Verbesserung des Systems beitragen. Als Hinweise mit mittelbarem Bezug zur Sicherheit gelten beispielsweise Hinweise, mit denen die Qualität des Quellcodes erhöht wird. Denn die Qualität des Quellcodes ist unter anderem entscheidend für die Lesbarkeit und damit auch für die Wahrscheinlichkeit, dass Fehler gefunden werden können. Die Höhe der finanziellen Entschädigung muss aufgrund der Schwere des Mangels festgelegt werden. Die Höhe soll so gewählt werden, dass effektiv Anreize für eine Teilnahme von Fachpersonen aus der Öffentlichkeit entstehen. Die Rechtsgrundlagen der BK legen lediglich die Rahmenbedingungen für das Bug-Bounty-Programm fest. Die detaillierte Ausgestaltung des Programms, z.B. die Festlegung von Kategorien zur Beurteilung der Schwere der Mängel sowie die Festlegung der Höhe der finanziellen Entschädigungen, obliegt den Kantonen bzw. dem Systembetreiber. Der Bund überprüft im Rahmen der Bewilligungsverfahren, inwiefern die Ziele des Bug-Bounty-Programms durch das von den Kantonen und der zuständigen Stelle nach Absatz 2 gewählte Vorgehen erreicht wurden.