Politika ta’ Żvelar Koordinat tal-Vulnerabbiltajiet

Il-Politika ta’ Żvelar Koordinat tal-Vulnerabbiltajiet (CVD), indikata bħala P39, tistabbilixxi proċess strutturat u formali għar-riċevuta, l-immaniġġjar u ż-żvelar pubbliku tal-vulnerabbiltajiet fin-netwerk u fis-sistemi ta’ informazzjoni tal-organizzazzjoni. Din il-politika ġiet żviluppata b’mod speċifiku biex tindirizza lakuni identifikati f’politiki preċedenti fir-rigward tar-rappurtar u l-koordinazzjoni ta’ vulnerabbiltajiet skoperti esternament, u tiżgura konformità proattiva mal-Artikolu 21(2)(e) tad-Direttiva NIS2 kif ukoll allinjament ma’ standards internazzjonali inkluż ISO/IEC 29147 u r-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/2690. L-għan ta’ din il-politika huwa doppju: li tiffaċilita s-sejbien u r-riżoluzzjoni f’waqthom tal-vulnerabbiltajiet tas-sigurtà billi tuża kemm valutazzjonijiet interni kif ukoll input estern, u li toħloq mogħdijiet ċari u siguri għal partijiet esterni, bħal riċerkaturi tas-sigurtà, msieħba u klijenti, biex jirrappurtaw vulnerabbiltajiet. B’mod speċifiku, il-politika timponi l-istabbiliment ta’ kanal pubbliku għar-rappurtar tal-vulnerabbiltajiet, tipikament email ta’ kuntatt tas-sigurtà jew formola web iċċifrata ppubblikata fuq is-sit web tal-organizzazzjoni, li tappoġġa komunikazzjoni sigura u effettiva mar-rappurtaturi. Din il-politika tas-CVD tiddettalja d-dmirijiet u l-kollaborazzjoni meħtieġa bejn il-partijiet kollha involuti: it-Tim ta’ Rispons għall-Vulnerabbiltajiet (VRT), responsabbli għat-trijaġġ u l-koordinazzjoni tar-rimedjazzjoni u ż-żvelar; it-timijiet tal-IT u tal-iżvilupp, li jivvalidaw u jindirizzaw l-aspetti tekniċi tal-vulnerabbiltajiet; professjonisti tal-komunikazzjoni, li jħejju avviżi għall-partijiet interessati u għall-pubbliku; u r-rappurtaturi esterni nfushom, li jridu jaderixxu mal-linji gwida ta’ żvelar responsabbli. Importanti, il-politika tikkonsagra prinċipju ta’ “safe harbor”: riċerkaturi li jaġixxu b’bona fede skont ir-regoli tal-politika huma protetti minn azzjonijiet legali, u b’hekk tippromwovi kultura kooperattiva ta’ ġestjoni tal-vulnerabbiltajiet. Il-politika hija espliċita dwar il-livelli ta’ servizz u l-kontrolli: ir-rikonoxximenti tar-rapporti huma garantiti fi żmien 2 ijiem tax-xogħol, is-severità tiġi ttrijaġġjata malajr, u vulnerabbiltajiet kritiċi jqanqlu mitigazzjoni aċċellerata u eskalazzjoni lejn il-maniġment. L-iskadenzi taż-żvelar huma ddikjarati (tipikament fi żmien 90 jum jew skont ftehim reċiproku), u avviżi pubbliċi jiġu kkoordinati biex jimmassimizzaw is-sigurtà filwaqt li jingħata kreditu lir-rappurtaturi li jaqblu li jissemmew b’isimhom. Il-kunfidenzjalità tal-vulnerabbiltajiet sottomessi u tal-identitajiet tar-rappurtaturi hija enfasizzata sakemm jiġi miftiehem żvelar pubbliku kkoordinat. Il-governanza fuq il-programm tas-CVD hija stretta. Il-politika tiġi riveduta b’mod annwali jew wara inċidenti sinifikanti, b’rekwiżiti għal titjib kontinwu bbażat fuq reviżjonijiet post-mortem. Il-metriċi jiġu traċċati, il-logs jinżammu, u jiġu imposti awditi regolari biex tiġi żgurata trasparenza u effettività fl-immaniġġjar tal-vulnerabbiltajiet skont il-politika u r-regolamenti rilevanti. Din il-politika mhijiex adattata għall-SMEs (m’hemm l-ebda notazzjoni SME bħal “S”), u tassumi funzjonijiet dedikati tas-sigurtà, tal-iżvilupp u tal-komunikazzjoni għall-operat xieraq tas-CVD, kollha jissodisfaw rekwiżiti stretti għal ISO/IEC 27001:2022 u direttivi settorjali bħan-NIS2.