A biztonsági rések kiaknázása és a kiberbűnözők által elkövetett támadások általában jelentős károkat okoznak a szervezetek számára. Ezért kiemelten fontos, hogy megfelelő eljárásokat dolgozzanak ki a sérülékenységek felfedezéséhez, kezeléséhez.
Az Európai Unió NIS2 irányelve szerint a kritikus és fontos szervezeteknek kötelezővé kell tenniük a Sérülékenység Közzétételi Irányelvet (VDP), amely segít azonosítani és elhárítani a biztonsági réseket.
Mi is az a Sérülékenység Közzétételi Irányelv (VDP)?
A Sérülékenység Közzétételi Irányelv (Vulnerability Disclosure Policy/Program) egy olyan irányelv, amely segít a szervezeteknek megfelelően kezelni a sérülékenységeket. Az irányelv tartalmazza azokat az eljárásokat és útmutatásokat, amelyeket a cég követ a szoftvereiben vagy rendszereiben felfedezett biztonsági rések bejelentésekor / kezelésekor.
A Sérülékenység Közzétételi Irányelv előnyei
A VDP-nek számos előnye van a szervezetek számára. Először is, lehetővé teszi az etikus hackerek számára, hogy jogi következmények nélkül jelentsék a sebezhetőségeket.
Ezenkívül segít időben észlelni a biztonsági réseket és kijavítani azokat, mielőtt a sérülékenységekre vonatkozó részletek harmadik fél vagy a nyilvánosság számára hozzáférhetővé válnának. Ez segíthet csökkenteni a kockázatokat, és biztonságosabb szolgáltatásoknak köszönhetően növelheti az ügyfélbizalmat.
A VDP továbbá hozzájárul az adatvédelemmel és a kiberbiztonsággal kapcsolatos jogi és szabályozási követelményeknek, például a NIS2-nek való megfeleléshez.
Milyen szerepet játszanak az etikus hackerek a VDP-ben?
Az etikus hackereknek kulcsfontosságú szerepük van a VDP-ben. Ők azok, akik a sérülékenységeket felfedezik és jelentik a szervezeteknek, és így segítenek időben elhárítani a biztonsági hibákat. Az etikus hackerek a VDP-n keresztül jogi és anyagi következmények nélkül jelenthetik a sérülékenységeket, és biztosak lehetnek abban, hogy az információk biztonságosan eljutnak a megfelelő személyhez.
A VDP megléte így segíthet nagyobb bizalmat teremteni a szervezetek és a hackerek között.
Az etikus hackereknek be kell tartaniuk a VDP irányelveit és azokat a lépéseket, amelyeket a szervezet meghatározott a feltárt sérülékenység bejelentésével kapcsolatban. A VDP-t figyelmesen és körültekintően kell alkalmazni, ugyanis az etikus hackerek által felfedezett sérülékenységek jelentős hatással lehetnek a szervezetekre és az általuk nyújtott szolgáltatásokra.
Mit tartalmazzon a VDP?
A VDP-nek tartalmaznia kell a biztonsági hiba leírását, a bejelentés módját és a vizsgálat hatókörét. Emellett a VDP felvázolja a szervezet által meghozott intézkedéseket a hiba bejelentése után, és kommunikációs csatornákat biztosít a bejelentők számára.
A VDP-nek tartalmaznia kell a következő elemeket:
- A sebezhetőség meghatározása és leírása: Fontos, hogy a VDP tartalmazza a sérülékenység pontos meghatározásának és leírásának követelményeit. Ez segít a bejelentőknek abban, hogy hatékonyan értesítsék a szervezetet a problémáról, a szervezet pedig megfelelően tudjon reagálni a bejelentésre.
- Egyértelmű útmutatás a bejelentéshez: A VDP-ben fel kell sorolni azokat a lépéseket, amelyeket a bejelentőknek követniük kell a sérülékenység bejelentéséhez. A VDP-nek magában kell foglalnia azokat az elérhetőségeket, csatornákat, amelyeken keresztül a hibát bejelenthetik.
- Meg kell határozni a program scope-ját és a kivételeket: A VDP-ben szükséges meghatározni a vizsgálat hatókörét, valamint minden olyan kivételt, amely nem tartozik a program hatálya alá. A VDP-nek egyértelműen tartalmaznia kell, hogy a szervezet milyen sérülékenységeket fogad be, és melyeket nem.
- Meg kell határozni a bejelentése utáni lépéseket: A VDP-ben a szervezet által követett lépéseket is meg kell határozni, amit az egyes bejelentések követnek. Ez magában foglalhatja a bejelentés validálását, a sérülékenység javítására vonatkozó megoldások megtalálását, a bejelentő értesítését, az esetleges jutalmakat, a köszönetnyilvánítás módját, valamint a nyilvános kommunikációt.
- Kommunikáció meghatározása: A bejelentéshez szükséges csatornák feltüntetésén túl szükséges a szervezeten belül egy kijelölt személy, aki foglalkozik a bejelentésekkel. Ha erre nincs belső erőforrás a HACKTIFY csapata tudja menedzselni a folyamatot a cég helyett. Szabályként meghatározható az is, hogy a bejelentő milyen módon tehet közzé információt a talált sérülékenységről.
Kinek van szüksége VDP-re?
A VDP egy olyan fontos irányelv, amelyet minden olyan szervezetnek érdemes követnie, amely bizalmas adatokat kezel, különösen akkor, ha fontos az ügyfelek és a felhasználók biztonsága és adataik védelme.
Az Európai Unióban a NIS2 1. mellékletében szereplő ágazatokba tartozó cégeknek is szükségük van VDP-re.
Ágazatok: szállítás, banki szolgáltatások, pénzügyi piaci infrastruktúrák, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása, közigazgatás, világűr.
Mi a különbség a VDP és a Bug Bounty között?
A VDP és a Bug Bounty program közötti különbség az, hogy a VDP a szervezetek részéről útmutatást ad a sebezhetőségek felelősségteljes bejelentéséhez, és felvázolja azokat a lépéseket, amelyeket a szervezet megtesz a sérülékenységek kezelésére, azonban nem feltétlenül kínálnak pénzbeli jutalmat. A bejelentett sérülékenységeket a NIS2 szerint érdemes nyilvánosságra hozni és megosztani más szervezetekkel az együttműködés elősegítése miatt.
A Bug Bounty program keretein belül viszont pénzbeli jutalmat kínálnak azoknak, akik megtalálják a sebezhetőséget, ezáltal motiválva a vizsgálat elvégzését. Ezek a programok lehetnek nyilvánosak vagy akár privátak is. Testreszabható, paraméterezhető, s szemben a VDP-vel, itt a bejelentett sérülékenységek elővalidáláson esnek át, így a szervezeteknek csak a valós, minőségi bejelentésekkel kell foglalkozniuk.
VDP a HACKTIFY segítségével – Mikor válaszd?
- Ha nem rendelkezel ilyen irányelvvel, de fontos neked a céged szolgáltatásainak biztonsága.
- Ha szükséged van olyan információbiztonsági szakemberekre, akik elkészítik vállalatod számára a dokumentumot és akár a folyamat üzemeltetésében is segítenek.
- Ha NIS2 irányelv, vagy más szabvány vagy jogszabály szerinti megfeleléshez keresel megoldást.
Összefoglalva, a VDP egy olyan fontos folyamat, amely biztosítja a szervezetek és a bejelentők számára a biztonságot és az átláthatóságot, ami nélkül az adatvédelmi és kiberbiztonsági kockázatok magasabbak lennének.
A Sérülékenység közzétételi irányelvvel kapcsolatban keress minket bizalommal!
