Sdílení informací o různých kyberbezpečnostních zranitelnostech by v Česku mělo být efektivnější a jednodušší. Ve státě doposud neexistoval formalizovaný a ucelený pohled na takzvané Coordinated Vulnerability Disclosure neboli CVD, což se teď mění.
Stát má pro tyto účely od prosince Národní politiku koordinovaného zveřejňování zranitelností včetně koordinátora pro tuto oblast. Tím se podle od listopadu platného nového zákona o kybernetické bezpečnosti stal vládní tým CERT. Politiku připravil Národní úřad pro kybernetickou a informační bezpečnost, k dispozici je zde.
Dokument je určen zejména pro vlastníky, vývojáře, dodavatele a manažery kybernetické bezpečnosti, kteří zvažují zavedení CVD jako nástroje pro navyšování zabezpečení ICT produktů, a dále pro výzkumníky z oblasti nalézání zranitelností v ICT produktech, kteří hledají způsob, jak provádět etický hacking v souladu s právním řádem ČR.
“Cílem procesu CVD je ochránit informaci o zranitelnosti do doby její nápravy tak, aby se snížilo riziko, že bude zneužita ze strany potenciálních útočníků. Správně nastavené CVD rovněž chrání objevitele zranitelností před negativními právními dopady nalézání zranitelností, jako je trestní odpovědnost či odpovědnost za škodu,” shrnul NÚKIB.
“Nahlásit koordinátorovi nalezenou zranitelnost může jakákoliv osoba, a to i anonymně. Koordinátor poskytne oznamovateli pomoc a identifikuje a kontaktuje subjekty dotčené nalezenou zranitelností. Dále je koordinátor zapojen do jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů. Současně působí jako kontaktní bod pro další koordinátory v jiných členských státech Evropské unie. Ohledně nahlášení zranitelnosti se lze na vládní CERT obracet již nyní na e-mailové adrese cvd (at) nukib.gov.cz.”
