Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil Národní politiku koordinovaného zveřejňování zranitelností, jejímž cílem je nejen zvyšování bezpečnosti produktů informačních a komunikačních technologií (ICT), ale také ochrana objevitelů zranitelností před negativními právními dopady. Součástí je rovněž vytvoření „koordinátora pro účely CVD“, jímž je podle nového zákona o kybernetické bezpečnosti vládní CERT.
Pojem koordinované zveřejňování zranitelností (dále jen CVD z anglického Coordinated Vulnerability Disclosure) představuje proces, kdy nálezci zranitelností spolupracují a sdílejí informace s příslušnými zúčastněnými stranami, jako jsou dodavatelé a vlastníci infrastruktury ICT. Cílem CVD je zajistit, aby byly zranitelnosti zveřejněny až ve chvíli, kdy se dodavateli podaří vyvinout záplatu nebo najít jiné řešení k minimalizaci jejich dopadů. Součástí procesu je typicky nalezení zranitelnosti, její nahlášení a následné odstranění. Celý proces CVD je upraven tzv. politikou CVD, tedy veřejným svolením vlastníka či správce produktu ICT k nalézání zranitelností.
Cílem procesu CVD je ochránit informaci o zranitelnosti do doby její nápravy tak, aby se snížilo riziko, že bude zneužita ze strany potenciálních útočníků. Správně nastavené CVD rovněž chrání objevitele zranitelností před negativními právními dopady nalézání zranitelností, jako je trestní odpovědnost či odpovědnost za škodu.
Národní politika CVD představuje efektivní nástroj pro navyšování bezpečnosti produktů ICT, neboť umožňuje spolupráci jejich vlastníků a správců s objeviteli zranitelností. Součástí celého procesu je tzv. koordinátor pro účely CVD, kterého určuje stát. Tímto koordinátorem je podle nového zákona o kybernetické bezpečnosti vládní CERT, který je součástí NÚKIB.
Nahlásit koordinátorovi nalezenou zranitelnost může jakákoli osoba, a to i anonymně. Koordinátor poskytne oznamovateli pomoc a identifikuje a kontaktuje subjekty dotčené nalezenou zranitelností. Dále je koordinátor zapojen do jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů. Současně působí jako kontaktní bod pro další koordinátory v jiných členských státech Evropské unie. Ohledně nahlášení zranitelnosti se lze na vládní CERT obracet již nyní na e-mailové adrese [email protected].
NÚKIB zároveň zveřejnil svou politiku CVD ve spolupráci s ACTIVE 24, s. r. o., (dostupná zde) která objevitelům zranitelností umožňuje testovat webovou aplikaci nukib.gov.cz. Tato konkrétní politika uvádí zejména zakázané způsoby nalézání zranitelností a definuje postup, jak správně nahlásit zranitelnost prostřednictvím formuláře. Věříme, že politika CVD NÚKIB povede k navázání bližší spolupráce s experty v oblasti nalézání zranitelností a přispěje k zavádění obdobných politik v České republice.
Národní politika CVD je dostupná zde:
https://nukib.gov.cz/download/publikace/strategie_akcni_plany/narodni_politiky_koncepce/CVD_FINAL_aktualizace-dle-nZKB.pdf