Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών

Η Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών (CVD), με κωδικό P39, θεσπίζει μια δομημένη και επίσημη διαδικασία για την παραλαβή, τον χειρισμό και τη δημόσια γνωστοποίηση ευπαθειών στα δίκτυα και τα πληροφοριακά συστήματα του οργανισμού. Η πολιτική έχει αναπτυχθεί ειδικά για να καλύψει κενά που εντοπίστηκαν σε προηγούμενες πολιτικές σχετικά με την αναφορά και τον συντονισμό ευπαθειών που εντοπίζονται εξωτερικά, διασφαλίζοντας προληπτική συμμόρφωση με το Άρθρο 21(2)(e) της Οδηγίας NIS2, καθώς και ευθυγράμμιση με διεθνή πρότυπα, συμπεριλαμβανομένων του ISO/IEC 29147 και του Εκτελεστικού Κανονισμού (ΕΕ) 2024/2690 της Επιτροπής. Ο σκοπός της πολιτικής είναι διττός: να διευκολύνει την έγκαιρη ανίχνευση και επίλυση ευπαθειών ασφάλειας αξιοποιώντας τόσο εσωτερικές αξιολογήσεις όσο και εξωτερική συνεισφορά, και να δημιουργήσει σαφείς, ασφαλείς διαδρομές για εξωτερικά μέρη, όπως ερευνητές ασφάλειας, συνεργάτες και πελάτες, ώστε να αναφέρουν ευπάθειες. Συγκεκριμένα, η πολιτική απαιτεί τη δημιουργία δημόσιου καναλιού αναφοράς ευπαθειών, συνήθως μέσω email επικοινωνίας ασφάλειας ή κρυπτογραφημένης φόρμας ιστού που δημοσιεύεται στον ιστότοπο του οργανισμού, το οποίο υποστηρίζει ασφαλή και αποτελεσματική επικοινωνία με τους αναφέροντες. Η πολιτική CVD περιγράφει τα καθήκοντα και τη συνεργασία που απαιτείται μεταξύ όλων των εμπλεκόμενων μερών: της Ομάδας Αντιμετώπισης Ευπαθειών (VRT), υπεύθυνης για τη διαλογή και τον συντονισμό αποκατάστασης και γνωστοποίησης· των ομάδων Πληροφορικής και ανάπτυξης, που επικυρώνουν και αντιμετωπίζουν τις τεχνικές πτυχές των ευπαθειών· των επαγγελματιών επικοινωνίας, που προετοιμάζουν ανακοινώσεις για τα ενδιαφερόμενα μέρη και το κοινό· και των εξωτερικών αναφερόντων, οι οποίοι οφείλουν να τηρούν κατευθυντήριες γραμμές υπεύθυνης γνωστοποίησης. Σημαντικά, η πολιτική κατοχυρώνει την αρχή «safe harbor»: οι ερευνητές καλής πίστης που ενεργούν σύμφωνα με τους κανόνες της πολιτικής προστατεύονται από νομικές ενέργειες, ενισχύοντας μια συνεργατική κουλτούρα διαχείρισης ευπαθειών. Η πολιτική είναι ρητή ως προς τα επίπεδα υπηρεσίας και τους ελέγχους: οι επιβεβαιώσεις παραλαβής αναφορών διασφαλίζονται εντός 2 εργάσιμων ημερών, η σοβαρότητα τίθεται άμεσα σε διαλογή και οι κρίσιμες ευπάθειες ενεργοποιούν επιταχυνόμενο μετριασμό και κλιμάκωση προς τη διοίκηση. Τα χρονοδιαγράμματα γνωστοποίησης δηλώνονται (τυπικά εντός 90 ημερών ή κατόπιν αμοιβαίας συμφωνίας) και οι δημόσιες ανακοινώσεις συντονίζονται ώστε να μεγιστοποιείται η ασφάλεια, ενώ αποδίδεται αναγνώριση στους αναφέροντες που συναινούν να κατονομαστούν. Η εμπιστευτικότητα των υποβληθεισών ευπαθειών και των ταυτοτήτων των αναφερόντων τονίζεται έως ότου συμφωνηθεί συντονισμένη δημόσια γνωστοποίηση. Η διακυβέρνηση του προγράμματος CVD είναι αυστηρή. Η πολιτική ανασκοπείται ετησίως ή μετά από σημαντικά περιστατικά, με απαιτήσεις για συνεχή βελτίωση βάσει ανασκοπήσεων post-mortem. Παρακολουθούνται μετρήσεις, τηρούνται αρχεία καταγραφής και επιβάλλονται τακτικοί έλεγχοι για να διασφαλίζεται διαφάνεια και αποτελεσματικότητα στον χειρισμό ευπαθειών σύμφωνα με την πολιτική και τους σχετικούς κανονισμούς. Η πολιτική δεν είναι προσαρμοσμένη για ΜΜΕ (δεν υπάρχει σήμανση ΜΜΕ όπως «S») και προϋποθέτει ειδικές λειτουργίες ασφάλειας, ανάπτυξης και επικοινωνίας για την ορθή λειτουργία του CVD, καλύπτοντας αυστηρές απαιτήσεις για το ISO/IEC 27001:2022 και κλαδικές οδηγίες όπως η NIS2.