Divulgarea coordonată a vulnerabilităților informatice

În societatea contemporană marcată de o interdependență în creștere provocările ridicate de securitatea cibernetică nu mai sunt doar apanajul strict al specialiștilor ci devine, treptat o provocare care își găsește o soluție colaborativă.

România Internațional, 13.03.2019, 14:52

În societatea contemporană marcată de o interdependență
în creștere provocările ridicate de securitatea cibernetică nu mai sunt doar
apanajul strict al specialiștilor ci devine, treptat o provocare care își
găsește o soluție colaborativă.

Un mecanism de cooperare dovedit în acest sens este
divulgarea coordonată a vulnerabilității (CVD
– Coordinated Vulnerability Disclosure) sau divulgarea responsabilă. În
esență, aceasta este o formă de cooperare în care un raportor informează
proprietarul sistemului informatic, permițându-i acestuia posibilitatea de a
diagnostica și remedia vulnerabilitatea înainte ca informațiile trecute cu
privire la vulnerabilitate să fie divulgate terților sau publicului larg.

Obiectivele unei politici coordonate privind divulgarea
vulnerabilităților includ:

– asigurarea abordării
vulnerabilităților identificate;

– minimizarea riscului de securitate
provenit de la vulnerabilitățile identificate;

– furnizarea unor informații suficiente
pentru evaluarea riscurilor legate de vulnerabilitățile sistemelor;

-
stabilirea așteptărilor privind comunicarea și coordonarea pozitivă între
părțile implicate.

O politică eficientă de divulgare coordonată a
vulnerabilităților poate minimiza șansele ca actorii rău-intenționați să
profite de vulnerabilitățile informatice, construi încrederea clienților în
ceea ce privește securitatea datelor acestora, aduce informații suplimentare
despre noi vulnerabilități relevante și contribui la sporirea nivelului de
securitate cibernetică.

Procesul de divulgare a vulnerabilităților implică de
obicei următorii pași:

– descoperirea unei vulnerabilități de
către un raportor;

– notificarea proprietarului sistemului
informatic afectat;

– investigarea vulnerabilității
potențiale și a impactului acesteia;

– confirmarea a vulnerabilității (dacă
este cazul); – oferirea de soluții pentru remedierea sau eliminarea
vulnerabilității;

-
divulgarea publică a informațiilor despre vulnerabilitate.

În procesul de divulgare a vulnerabilităților pot fi
implicate numeroase părți interesate, cum ar fi producători/furnizori de
software, furnizori de securitate IT, cercetători, publicul larg, dar și
infractorii cibernetici. Aceste părți interesate pot avea interese
conflictuale, ceea ce poate duce la provocări privind rezolvarea vulnerabilităților
descoperite, cum ar fi constrângerile legale sau lipsa de încredere.

Mai multe detalii sunt disponibile în studiul Provocări actuale în domeniul securității
cibernetice – impact și contribuția României în domeniu elaborat de o echipă de cercetare compusă din:
Ioan-Cosmin MIHAI (coordonator) Costel CIUCHI Gabriel-Marius PETRICĂ. Lucrarea
este disponibilă online pe site-ul Institutului
European din România.

(Mihai
Sebe, expert, Institutul European din România)