Το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο (NCSC) στο Ηνωμένο Βασίλειο έχει κυκλοφορήσει έναν οδηγό με σκοπό να βοηθήσει τις εταιρείες να εφαρμόσουν ή να βελτιώσουν τις πολιτικές αναφοράς ευπαθειών στα συστήματά τους.
Ο οδηγός ονομάζεται “The Vulnerability Disclosure Toolkit” και τονίζει ότι όλοι οι οργανισμοί, ανεξάρτητα από το μέγεθός τους, πρέπει να υιοθετήσουν την προσέγγιση της υπεύθυνης αναφοράς σφαλμάτων, το οποίο σημαίνει ότι οποιοσδήποτε βρει κάποια ευπάθεια θα μπορεί να την αναφέρει εύκολα και να υπάρχει άμεση ανταπόκριση από την εταιρεία.
Η πολιτική της αναφοράς σφαλμάτων θα γίνει νόμος
Η διαδικασία αποκάλυψης ευπαθειών είναι πολύ σημαντική, καθώς οι περισσότερες επιθέσεις στον κυβερνοχώρο είναι αποτέλεσμα μιας ή περισσοτέρων ευπαθειών. Οι ερευνητές ανακαλύπτουν συνεχώς νέα σφάλματα και προσπαθούν να τα διορθώσουν.
Η αναφορά των προβλημάτων μπορεί να είναι ιδιαίτερα δύσκολη, γιατί πολλές φορές, αυτοί που βρίσκουν τις ευπάθειες δεν ξέρουν πού να απευθυνθούν και σε ποιον να τις αναφέρουν.
“Εντοπίζονται συνεχώς ευπάθειες και οι άνθρωποι θέλουν να μπορούν να τις αναφέρουν απευθείας στον υπεύθυνο οργανισμό“, λέει το NCSC του Ηνωμένου Βασιλείου.
Οι εταιρείες που θέλουν να μειώσουν τον αριθμό των ευπαθειών στα συστήματά τους, πρέπει να παρέχουν πιο ασφαλή προϊόντα και υπηρεσίες. Με αυτόν τον τρόπο, μπορούν να μειώσουν τις πιθανότητες να πέσουν θύμα μιας κυβερνοεπίθεσης.
“Η ύπαρξη μιας συγκεκριμένης διαδικασίας αναφοράς ευπαθειών δείχνει ότι ο οργανισμός σας λαμβάνει σοβαρά υπόψη την ασφάλεια. Παρέχοντας μια σαφή διαδικασία, οι οργανισμοί μπορούν να λάβουν τις πληροφορίες άμεσα, ώστε να αντιμετωπιστεί η ευπάθεια και να μειωθεί ο κίνδυνος παραβίασης. Αυτή η διαδικασία παρέχει έναν τρόπο αναφοράς και μια καθορισμένη πολιτική για το πώς θα ανταποκριθεί ο οργανισμός“, είπε ακόμα το NCSC.
Το έγγραφο που δημοσίευσε το NCSC δεν είναι ένα “βιβλίο κανόνων” για ευκολότερη αποκάλυψη ευπαθειών. Ουσιαστικά παρέχει βασικές πληροφορίες για την εφαρμογή
μιας τέτοιας πολιτικής ή για τη βελτίωσή της, σε περίπτωση που κάποιες εταιρείες την εφαρμόζουν ήδη.Όπως διαβάσαμε και στο BleepingComputer, το έγγραφο χωρίζεται σε τρεις βασικές ενότητες που περιγράφουν πώς μπορεί να γίνει εύκολα η αποκάλυψη ευπαθειών από τρίτους.
Το NCSC συνιστά τη δημιουργία και την παροχή μιας αποκλειστικής “επαφής” (διεύθυνση email ή ασφαλής φόρμα ιστού), την οποία θα μπορεί να βρει εύκολα κάποιος που θέλει να αναφέρει την ύπαρξη ευπαθειών. Αυτό μπορεί εύκολα να γίνει με το security.txt standard, ένα αρχείο απλού κειμένου.
Το αρχείο αυτό μπορεί να περιλαμβάνει στοιχεία επικοινωνίας του τμήματος ασφαλείας της εταιρείας και την πολιτική αποκάλυψης ευπαθειών. Επιπλέον, μπορεί να περιέχονται ένα δημόσιο κλειδί, εάν απαιτείται κρυπτογραφημένη επικοινωνία, και προτιμώμενες γλώσσες. Το NCSC δίνει ένα security.txt file ως παράδειγμα.
Η άμεση ανταπόκριση σε μια αναφορά ευπάθειας είναι απαραίτητη. Η εταιρεία θα πρέπει να έρχεται σε άμεση επικοινωνία με αυτόν που βρίσκει την ευπάθεια, ακόμα και να τον ευχαριστήσει.
Το NCSC συνιστά στις εταιρείες να αποφύγουν να αναγκάσουν τον “ερευνητή-ανιχνευτή ευπαθειών” να υπογράψει μια συμφωνία μη αποκάλυψης “καθώς το άτομο απλά προσπαθεί να διασφαλίσει ότι η ευπάθεια έχει διορθωθεί“.
Η άμεση ανταπόκριση της εταιρείας και η ενημέρωση του ερευνητή για την πρόοδο της διόρθωσης, δείχνει διαφάνεια και εκτίμηση της προσπάθειάς του.
Η κυκλοφορία του “The Vulnerability Disclosure Toolkit” είναι το προοίμιο για την ενσωμάτωση της διαδικασίας αναφοράς ευπαθειών στα νομοθετικά πλαίσια του Ηνωμένου Βασιλείου.