Politika usklajenega razkritja ranljivosti

Politika usklajenega razkritja ranljivosti (CVD), označena kot P39, vzpostavlja strukturiran in formalen postopek za prejem, obravnavo in javno razkritje ranljivosti v omrežnih in informacijskih sistemih organizacije. Ta politika je bila posebej razvita za odpravo vrzeli, ugotovljenih v prejšnjih politikah glede poročanja in usklajevanja zunanje zaznanih ranljivosti, ter zagotavlja proaktivno skladnost z Direktivo NIS2, členom 21(2)(e), in uskladitev z mednarodnimi standardi, vključno z ISO/IEC 29147 in Izvedbeno uredbo Komisije (EU) 2024/2690. Namen te politike je dvojen: omogočiti pravočasno odkrivanje in odpravo varnostnih ranljivosti z uporabo notranjih ocen in zunanjih prispevkov ter ustvariti jasne, varne poti za zunanje strani, kot so varnostni raziskovalci, partnerji in stranke, za poročanje o ranljivostih. Politika posebej zahteva vzpostavitev javno dostopnega kanala za poročanje o ranljivostih, običajno varnostnega kontaktnega e-naslova ali šifriranega spletnega obrazca, objavljenega na spletni strani organizacije, ki podpira varno in učinkovito komunikacijo s poročevalci. Ta politika CVD podrobno opisuje naloge in sodelovanje vseh vključenih strani: Ekipa za odziv na ranljivosti (VRT), odgovorna za triažo ter usklajevanje odprave in razkritja; ekipe IT in razvoja, ki validirajo in obravnavajo tehnične vidike ranljivosti; komunikacijski strokovnjaki, ki pripravijo obvestila za zainteresirane strani in javnost; ter zunanji poročevalci, ki morajo upoštevati smernice odgovornega razkritja. Pomembno je, da politika uveljavlja načelo »varnega pristanišča«: raziskovalci v dobri veri, ki ravnajo v skladu s pravili politike, so zaščiteni pred pravnimi ukrepi, kar spodbuja sodelovalno kulturo upravljanja ranljivosti. Politika je izrecna glede ravni storitev in kontrol: potrditev prejema poročil je zagotovljena v 2 delovnih dneh, resnost se hitro razvrsti s triažo, kritične ranljivosti pa sprožijo pospešene omilitvene ukrepe in eskalacijo do vodstva. Navedeni so časovni roki razkritja (običajno v 90 dneh ali po medsebojnem dogovoru), javna obvestila pa se usklajujejo tako, da se maksimira varnost, hkrati pa se poročevalcem, ki soglašajo z navedbo imena, prizna zasluga. Zaupnost predloženih ranljivosti in identitet poročevalcev je poudarjena do dogovorjenega usklajenega javnega razkritja. Upravljanje programa CVD je strogo. Politika se pregleda letno ali po pomembnih incidentih, z zahtevami za nenehno izboljševanje na podlagi pregledov po incidentu. Spremljajo se kazalniki, vodijo dnevniki in izvajajo redne presoje, da se zagotovi preglednost in učinkovitost obravnave ranljivosti v skladu s politiko in relevantnimi predpisi. Ta politika ni prilagojena za MSP (ni oznake MSP, kot je »S«) in predpostavlja namenske funkcije varnosti, razvoja in komunikacij za pravilno delovanje CVD, pri čemer vse izpolnjuje stroge zahteve za ISO/IEC 27001:2022 in sektorske direktive, kot je NIS2.