Politik for koordineret sårbarhedsafsløring

Politik for koordineret sårbarhedsafsløring (CVD), udpeget som P39, etablerer en struktureret og formel proces for modtagelse, håndtering og offentlig offentliggørelse af sårbarheder i organisationens netværks- og informationssystemer. Denne politik er specifikt udviklet til at adressere huller identificeret i tidligere politikker vedrørende rapportering og koordinering af eksternt detekterede sårbarheder og sikrer proaktiv overholdelse af NIS2-direktivets artikel 21(2)(e) samt tilpasning til internationale standarder, herunder ISO/IEC 29147 og Kommissionens gennemførelsesforordning (EU) 2024/2690. Formålet med denne politik er todelt: at facilitere rettidig detektion og løsning af sikkerhedssårbarheder ved at udnytte både interne vurderinger og eksternt input, og at skabe klare, sikre veje for eksterne parter, såsom sikkerhedsforskere, partnere og kunder, til at rapportere sårbarheder. Politikken kræver specifikt etablering af en offentlig sårbarhedsrapporteringskanal, typisk en sikkerhedskontakt-e-mail eller en krypteret webformular offentliggjort på organisationens hjemmeside, som understøtter sikker og effektiv kommunikation med rapportører. Denne CVD-politik beskriver de pligter og den samarbejdsform, der kræves mellem alle involverede parter: Vulnerability Response Team (VRT), som er ansvarligt for triage og koordinering af afhjælpning og afsløring; IT- og udviklingsteams, som validerer og håndterer de tekniske aspekter af sårbarheder; kommunikationsprofessionelle, som udarbejder advisories til interessenter og offentligheden; samt de eksterne rapportører selv, som skal overholde retningslinjer for ansvarlig afsløring. Vigtigt er det, at politikken fastslår et "safe harbor"-princip: forskere i god tro, der handler i overensstemmelse med politikkens regler, er beskyttet mod retlige skridt, hvilket fremmer en samarbejdende kultur for sårbarhedsstyring. Politikken er eksplicit om serviceniveauer og kontroller: bekræftelser af rapporter er garanteret inden for 2 arbejdsdage, alvorlighed triageres hurtigt, og kritiske sårbarheder udløser accelereret afbødning og eskalering til ledelsen. Tidslinjer for afsløring er angivet (typisk inden for 90 dage eller efter gensidig aftale), og offentlige advisories koordineres for at maksimere sikkerheden, samtidig med at rapportører krediteres, hvis de samtykker til at blive navngivet. Fortroligheden af indsendte sårbarheder og rapportøridentiteter understreges, indtil koordineret offentlig afsløring er aftalt. Styringen af CVD-programmet er streng. Politikken gennemgås årligt eller efter væsentlige hændelser, med krav om løbende forbedring baseret på post-mortem-gennemgange. Metrikker spores, logfiler vedligeholdes, og regelmæssige revisioner er påkrævet for at sikre transparens og effektivitet i håndtering af sårbarheder i henhold til politikken og relevante reguleringer. Denne politik er ikke tilpasset til SMV'er (der er ingen SMV-notation såsom "S") og forudsætter dedikerede sikkerheds-, udviklings- og kommunikationsfunktioner for korrekt CVD-drift, som alle opfylder strenge krav til ISO/IEC 27001:2022 og sektordirektiver som NIS2.