Politika koordinovaného zveřejňování zranitelností

Politika koordinovaného zveřejňování zranitelností (CVD), označená jako P39, stanovuje strukturovaný a formální proces pro příjem, zpracování a veřejné zveřejnění zranitelností v síťových a informačních systémech organizace. Tato politika byla vyvinuta specificky k řešení mezer identifikovaných v předchozích politikách v oblasti hlášení a koordinace externě zjištěných zranitelností a zajišťuje proaktivní soulad se směrnicí NIS2, čl. 21 odst. 2 písm. e), a zároveň sladění s mezinárodními normami včetně ISO/IEC 29147 a prováděcího nařízení Komise (EU) 2024/2690. Účel této politiky je dvojí: usnadnit včasnou detekci a řešení bezpečnostních zranitelností využitím interních posouzení i externích podnětů a vytvořit jasné, zabezpečené cesty pro externí strany, jako jsou bezpečnostní výzkumníci, partneři a zákazníci, pro hlášení zranitelností. Konkrétně politika vyžaduje zřízení veřejně dostupného kanálu pro hlášení zranitelností, typicky bezpečnostního kontaktního e-mailu nebo šifrovaného webového formuláře zveřejněného na webových stránkách organizace, který podporuje bezpečnou a efektivní komunikaci s oznamovateli. Tato politika CVD popisuje povinnosti a spolupráci vyžadovanou mezi všemi zúčastněnými stranami: Tým reakce na zranitelnosti (VRT), odpovědný za triáž a koordinaci nápravy a zveřejnění; týmy IT a vývoje, které validují a řeší technické aspekty zranitelností; pracovníci komunikace, kteří připravují upozornění pro zainteresované strany a veřejnost; a samotní externí oznamovatelé, kteří musí dodržovat pokyny pro odpovědné zveřejňování. Důležité je, že politika zakotvuje princip „safe harbor“: výzkumníci jednající v dobré víře, kteří postupují podle pravidel politiky, jsou chráněni před právními kroky, což podporuje kooperativní kulturu řízení zranitelností. Politika je explicitní ohledně úrovní služeb a kontrol: potvrzení přijetí hlášení je garantováno do 2 pracovních dnů, závažnost je promptně tříděna v rámci triáže a kritické zranitelnosti spouštějí zrychlená zmírňující opatření a eskalaci k vedení. Jsou uvedeny lhůty pro zveřejnění (typicky do 90 dnů nebo na základě vzájemné dohody) a veřejná upozornění jsou koordinována tak, aby maximalizovala bezpečnost a zároveň přiznala zásluhy oznamovatelům, kteří souhlasí se zveřejněním jména. Důraz je kladen na důvěrnost předložených zranitelností a identit oznamovatelů až do dohodnutého koordinovaného veřejného zveřejnění. Správa programu CVD je přísná. Politika je přezkoumávána každoročně nebo po významných incidentech, s požadavky na neustálé zlepšování na základě přezkoumání po incidentu. Jsou sledovány metriky, udržovány logy a vyžadovány pravidelné audity, aby byla zajištěna transparentnost a účinnost při zpracování zranitelností v souladu s politikou a relevantními předpisy. Tato politika není přizpůsobena pro SME (neobsahuje označení SME, jako je „S“) a předpokládá vyhrazené funkce bezpečnosti, vývoje a komunikace pro správný provoz CVD, přičemž všechny splňují přísné požadavky ISO/IEC 27001:2022 a odvětvových směrnic, jako je NIS2.