Skoordynowane ujawnianie podatności (ang. Coordinated Vulnerability Disclosure, CVD) jest jednym z zagadnień wskazywanych przez projekt Dyrektywy Parlamentu Europejskiego (tzw. Dyrektywę NIS2), które znajduje się obecnie w centrum zainteresowania ekspertów ds. cyberbezpieczeństwa.
W ostatnich latach obserwujemy wzrost ilości zagrożeń w cyberprzestrzeni, a dodatkowo pandemia oraz obecna wojna na Ukrainie, ujawniły niszczycielski potencjał aktywności cyberprzestępców, szukających luk w systemach prywatnych i publicznych organizacji i instytucji – przyznali uczestnicy debaty eksperckiej w pawilonie NASK na XXXI Forum Ekonomicznym w Karpaczu.
Na zagrożenia musimy uczyć się reagować szybciej i sprawniej, angażując w ten proces ekspertów z różnych instytucji oraz osoby działające indywidualnie.
Idea CVD polega na zapewnieniu formalnego, zgodnego z prawem procesu wyszukiwania przez użytkowników sieci luk w systemach i urządzeniach informatycznych, a następnie informowania o nich odpowiednich interesariuszy – producentów oprogramowania czy właścicieli infrastruktury. Jednocześnie obie strony obowiązuje zasada ujawnienia publicznie danego błędu wówczas, gdy zostanie już naprawiony.
„Organizacje zajmujące się bezpieczeństwem od dawna mierzą się z kwestią ujawniania informacji o podatnościach – dlatego tak ważne jest opracowanie standardów i procedur w tym zakresie. Obecnie kwestie prawne dotyczące CVD są różne w każdym państwie członkowskim UE, jednak instytucje unijne podejmują kroki w celu ujednolicenia wytycznych dla krajowych przepisów dotyczących tego zagadnienia” – tłumaczył Maciej Siciarek, dyrektor Pionu CSIRT w NASK.
To właśnie NASK, czołowy państwowy instytut badawczy, jest współorganizatorem Forum Cyberbezpieczeństwa – wyjątkowej przestrzeni przeznaczonej do debat nad kierunkami rozwoju cyfrowego świata podczas XXXI Forum Ekonomicznego w Karpaczu. Jedno ze spotkań ekspertów z państw europejskich dotyczyło właśnie organizacyjnych, prawnych i etycznych aspektów uregulowania kwestii CVD na poziomie europejskim oraz wymiany doświadczeń z krajów członkowskich.
„Sformułowaliśmy określone wskazówki, które pozwolą państwom członkowskim UE dostosować się do wymogów planowanej od dawna dyrektywy Komisji Europejskiej. Znajdują się wśród nich m.in. rekomendacje zmian w kodeksach karnych zapewniające badaczom luk w systemach bezpieczeństwa ochronę prawną czy uregulowanie kwestii etycznych, zapobiegających m.in. łamaniu reguły nieujawniania błędów w systemach przed ich usunięciem czy naprawieniem” – tłumaczył Juhan Lepassaar, dyrektor ENISA, agencji Unii Europejskiej ds. cyberbezpieczeństwa.
Ekspert zauważył, że kraje członkowie w różnym tempie decydują się na implementację rekomendacji ENISA. Są wśród nich prymusi, tacy jak Francja, Holandia czy Belgia, inne z kolei nie podjęły jeszcze istotnych kroków w tym zakresie. Polska znajduje się w grupie państw, które rozpoczęły proces przygotowywania się do organizacji tego procesu.
„Szybka identyfikacja podatności w systemach i produktach ICT i sprawne likwidowanie jest więc niezbędne, jeśli chcemy uniemożliwić przestępcom ich wykorzystanie. Firmy i instytucje powinny więc docenić determinację i zaangażowanie osób, które stosując na razie >>niepisany kodeks etyczny<<, w granicach prawa szukają luk w zabezpieczeniach, w konsekwencji wzmacniając tym samym bezpieczeństwo danych tysięcy użytkowników” – zauważył Maciej Siciarek.
Ekspert NASK dodał, że swoistym „game changerem” w tym zakresie jest wojna w Ukrainie. Agresji Rosji towarzyszy wzmożona aktywność hakerów, których celem jest zarówno motywacja finansowa np.: wymuszanie okupów, jak również paraliżowanie funkcjonowania życia politycznego i gospodarczego państw Unii Europejskiej. Tym bardziej powinniśmy zadbać o to by proces przekazywania informacji o zagrożeniach oraz skutecznego zabezpieczania systemów i produktów ICT był sprawniejszy i szybszy.
Źródło informacji: PAP MediaRoom. Zdjęcie ilustracyjne – fot. Shutterstock.
