Polityka skoordynowanego ujawniania podatności

Polityka skoordynowanego ujawniania podatności (CVD), oznaczona jako P39, ustanawia ustrukturyzowany i formalny proces przyjmowania, obsługi oraz publicznego ujawniania podatności w sieci i systemach informatycznych organizacji. Polityka została opracowana w celu usunięcia luk zidentyfikowanych w poprzednich politykach w zakresie zgłaszania i koordynacji podatności wykrytych zewnętrznie, zapewniając proaktywną zgodność z Dyrektywą NIS2, art. 21(2)(e), a także zgodność z normami międzynarodowymi, w tym ISO/IEC 29147 oraz Rozporządzeniem wykonawczym Komisji (UE) 2024/2690. Cel tej polityki jest dwojaki: ułatwienie terminowego wykrywania i usuwania podatności bezpieczeństwa poprzez wykorzystanie zarówno ocen wewnętrznych, jak i informacji zewnętrznych, oraz stworzenie jasnych, bezpiecznych ścieżek dla podmiotów zewnętrznych, takich jak badacze bezpieczeństwa, partnerzy i klienci, do zgłaszania podatności. W szczególności polityka nakazuje ustanowienie publicznego kanału zgłaszania podatności, zwykle w postaci adresu e-mail kontaktu bezpieczeństwa lub szyfrowanego formularza WWW opublikowanego na stronie internetowej organizacji, który wspiera bezpieczną i skuteczną komunikację ze zgłaszającymi. Polityka CVD opisuje obowiązki i współpracę wymaganą pomiędzy wszystkimi zaangażowanymi stronami: Zespołem reagowania na podatności (VRT), odpowiedzialnym za triage oraz koordynację remediacji i ujawniania; zespołami IT i rozwoju, które walidują i adresują techniczne aspekty podatności; specjalistami ds. komunikacji, którzy przygotowują komunikaty dla interesariuszy i opinii publicznej; oraz samymi zgłaszającymi zewnętrznymi, którzy muszą przestrzegać wytycznych odpowiedzialnego ujawniania. Co istotne, polityka ustanawia zasadę „safe harbor”: badacze działający w dobrej wierze, którzy postępują zgodnie z zasadami polityki, są chronieni przed działaniami prawnymi, co wspiera kulturę współpracy w zarządzaniu podatnościami. Polityka precyzuje poziomy usług i środki kontrolne: potwierdzenie otrzymania zgłoszeń jest gwarantowane w ciągu 2 dni roboczych, istotność jest niezwłocznie poddawana triage, a krytyczne podatności uruchamiają przyspieszone środki łagodzące oraz eskalację do kierownictwa. Określone są terminy ujawniania (zwykle w ciągu 90 dni lub na podstawie wzajemnego uzgodnienia), a publiczne komunikaty są koordynowane w celu maksymalizacji bezpieczeństwa, przy jednoczesnym uznaniu autorstwa zgłaszających, którzy wyrażą zgodę na podanie nazwiska. Poufność zgłoszonych podatności oraz tożsamości zgłaszających jest podkreślana do czasu uzgodnienia skoordynowanego ujawnienia publicznego. Nadzór nad programem CVD jest rygorystyczny. Polityka jest przeglądana corocznie lub po istotnych incydentach, z wymaganiami ciągłego doskonalenia na podstawie przeglądów post-mortem. Metryki są śledzone, rejestry zdarzeń utrzymywane, a regularne audyty są wymagane w celu zapewnienia przejrzystości i skuteczności obsługi podatności zgodnie z polityką i właściwymi regulacjami. Polityka nie jest dostosowana do MŚP (brak oznaczenia MŚP, takiego jak „S”) i zakłada istnienie dedykowanych funkcji bezpieczeństwa, rozwoju oraz komunikacji dla prawidłowego działania CVD, spełniających rygorystyczne wymagania ISO/IEC 27001:2022 oraz dyrektyw sektorowych, takich jak NIS2.