Divulgarea Coordonată a Vulnerabilităților - CVD

 

Provocări și riscuri ale societății digitale

Identificarea și adresarea promptă a vulnerabilităților a devenit extrem de importantă în societatea digitală actuală în care concurența și avansul tehnologic rapid reduc timpul alocat testării, sub presiunea lansării de noi produse și servicii pe piață, iar complexitatea produselor face imposibilă testarea exhaustivă, indiferent de resursele alocate.
Exploatarea de către entități rău-intenționate a vulnerabilităților are consecințe negative importante pe plan economic și social, putând însemna pentru companii, compromiterea afacerii, pierderi financiare și chiar faliment, pentru instituții imposibilitatea îndeplinirii misiunii, compromiterea activității și datelor cetățenilor iar pentru utilizatori și cetățeni pierderea încrederii în serviciile digitale și în capacitatea statului de a-i ajuta și proteja.

Ca instituție a statului român, CERT-RO – prin prevederile HG 494/2011, art. 6 lit. b) trebuie să poată procesa informații cu privire la vulnerabilitățile sistemelor informatice, alături de cele referitoare la incidente de securitate cibernetică și cele referitoare la amenințări informatice și să întrețină o bază de date referitoare la aceste vulnerabilități. În aceste condiții, CERT-RO trebuie sa răspundă cu succes sarcinilor trasate și în absența unui cadrul legislativ anume stabilit pentru rezolvarea vulnerabilităților, prin implementarea CVD (Coordinated Vulnerability Disclosure).

 

Navigare rapidă secțiuni:

CVD - Definire

Forme de cooperare și bunele practici în domeniul divulgării vulnerabilităților

Rolul CERT-RO

Raportarea vulnerabilităților prin CERT-RO

Ghid de raportare prin CERT-RO

Conținutul raportării către CERT-RO

 

CVD - Definire

Divulgarea coordonată și responsabilă a vulnerabilităților - ”CVD” este forma de cooperare dintre Deținătorii/Producătorii de servicii, sisteme și programe informatice și Raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele două părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producători și cercetători în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate.

În absența unui cadru juridic dedicat,  metodele concrete utilizate pentru cooperarea prin CVD se bazează pe stabilirea unei relații de încredere între Deținători/Producători și/sau Raportori. În stabilirea relației de încredere pot contribui și terțe părți (neutre) în vederea sprijinirii derulării în bune condiții a procesului de divulgare a vulnerabilităților identificate.

Rolul raportorilor

Cetățenii interesați de securitatea informatică, cercetătorii independenți și companiile de securitate din domeniu au un rol tot mai important în identificarea de vulnerabilități și remedierea lor în faza de utilizare/exploatare a serviciilor, rețelelor și sistemelor informatice contribuind la îmbunătățirea climatului de securitate prin cooperarea în cadrul mecanimelor CVD pentru:

  • raportarea vulnerabilităților identificate către Deținători/Producători;
  • ajutorul acordat Deținătorilor/Producătorilor în remediere - completând activitatea echipelor de securitate informatică ale acestora;
  • diseminarea responsabilă către întreaga comunitate din domeniul asigurării securității rețelelor și/sau sistemelor informatice a informațiilor privind vulnerabilitățile, cu scopul de a permite tuturor adoptarea măsurilor adecvate.

Condiții necesare

  • conștientizarea de către Deținători/Producători a beneficiilor cooperării cu terții Raportori
  • instituirea de către Deținători a mecanismelor de raportare, verificare și remediere a vulnerabilităților în timp util
  • conștientizarea de către Raportori a responsabilității și consecințelor acțiunilor întreprinse
  • coordonarea în publicarea datelor necesare pentru luarea măsurilor de protecție
  • adaptarea activităților la cadrul juridic existent

Forme de cooperare și bunele practici în domeniul divulgării vulnerabilităților

În ultimii ani a crescut interesul în dezvoltarea formelor de cooperare bazate pe spiritul de inițiativă și dorința de a contribui la climatul de securitate cibernetică a cetățenilor, fiind tot mai frecvent întâlnite:

  • raportarea și coordonarea prin intermediul unei terțe părți neutre precum echipele CSIRT/CERT.
  • afișarea publică de către companii și instituții a modalităților de contact pentru raportarea de vulnerabilități, împreună cu reguli și limite, sub condiția respectării acestora și angajamentul corelativ al entității de a răspunde sesizărilor în timp util și de a coopera cu Raportorul;

  

Rolul CERT-RO

În contextul necesităților de a putea procesa semnalări referitoare la vulnerabilitățile cibernetice pe care Raportorii le transmit către CERT-RO în calitate de punct de contact (terț neutru) pentru a se asigura condițiile de încredere între Raportori și Deținători/Producători, instituția noastră trebuie să asigure un cadru pentru derularea acestei activități.

Astfel, cu sprijinul MAE, România este parte a inițiativei Global Forum on Cyberexpertise (GFCE) de promovare a a dopției mecanismelor CVD de către state, guverne, companii și instituții deținătoare sau administratori de servicii, rețele sau sisteme informatice destinate publicului.

În formatul GFCE, CERT-RO participă activ la demersuri la nivel național și internațional în vederea creșterii gradului de încredere și cooperare pentru îmbunătățirea climatului de securitate a rețelelor și sistemelor informatice.

Ca parte a inițiativei CVD, CERT-RO încurajează la nivel național:

  • adoptarea de către companii și instituții a mecanismelor necesare primirii, evaluării și remedierii de vulnerabilități raportate de către Raportori
  • identificarea și adoptarea unui cadru legal adecvat activităților de raportare de vulnerabilități
  • stimularea dezvoltării de comunități de securitate cibernetică care să aibă ca participanți atât pasionații, cercetătorii și furnizorii de produse și servicii de securitate pe de o parte cât și companiile și instituțiile publice care pot beneficia de ajutor în securizarea serviciilor, rețelelor și sistemelor informatice pe care le dețin sau le administrează, de cealaltă parte.

În acest scop, CERT-RO:

  • a instituit un proces de intermediere în raportarea vulnerabilităților care să asigure încredere și un grad minim de protecție pentru părțile implicate
  • elaborează și publică ghiduri și informații utile pentru părțile interesate
  • oferă recunoaștere publică în cazurile în care părțile implicate își doresc acest lucru și în care CERT-RO a avut un rol
  • sprijină și participă la evenimente de promovare a CVD
  • participă la demersurile GFCE la nivel internațional de promovare a CVD.

Recunoaștere publică:

 

Raportarea vulnerabilităților prin CERT-RO

 

Raportarea vulnerabilităților prin CERT-RO, are la bază art. 6 lit b) și c) din HG 494/2011 care precizează că:

  • CERT-RO asigură cadrul organizatoric și suportul tehnic necesar schimbului de informații dintre diverse echipe de tip CERT, utilizatori, autorități, producători de echipamente și soluții de securitate cibernetică, precum și furnizori de servicii în domeniu;
  • CERT-RO organizează şi întreţine un sistem de baze de date privind ameninţările, vulnerabilităţile şi incidentele de securitate cibernetică identificate sau raportate, tehnici şi tehnologii folosite pentru atacuri, precum şi bune practici pentru protecţia infrastructurilor cibernetice.

Pentru îndeplinirea acestor atribuții, CERT-RO a instituit un Serviciu de Raportare Vulnerabilități (SRV) cu scopul stabilirii contactului și medierii între Raportori și Deținători/Producători în vederea remedierii vulnerabilităților constatate.
Acest demers urmează recomandările ENISA cu privire la îmbunătățirea peisajului actual în domeniul divulgării responsabile a vulnerabilităților prin introducerea unei părți terțe neutre pentru a coordona divulgarea vulnerabilităților.

 

Termeni și condiții

Condiții generale

Descrierea pe scurt a procesului: CERT-RO primește raportări de vulnerabilități identificate la nivelul serviciilor, programelor și sistemelor informatice și mijlocește contactul și coordonarea dintre Raportor și Deținător cu scopul remedierii problemelor constatate și dezvoltării încrederii și cooperării între părți.

Condiții obligatorii:

·      Deținătorul/Producătorul trebuie să fie stabilit sau să aibă un sediu sau reprezentant pe teritoriul României;

·      Raportorul trebuie să furnizeze date de contact valide;

·      Raportorul trebuie să nu fi publicat vulnerabilitatea descoperită și nici să o fi explicat în alte situații informale, care ar putea să afecteze încrederea în validitatea afirmațiilor sale (ex: forumuri de discuții, etc.) sau demersul declanșat prin intermediul CERT-RO;

·      Raportările de vulnerabilități trebuie să îndeplinească cerințele și să conțină informațiile stipulate în Ghidul de raportare către CERT-RO;

·      Identificarea vulnerabilităților trebuie să se fi făcut cu respectarea legislației în vigoare;

·      Răspunderea pentru informațiile furnizate, precum și pentru metodele și tehnicile utilizate aparține în întregime Raportorului.

Limitele rolului CERT-RO:

·      Programul lansat de CERT-RO nu reprezintă și nu constituie temei pentru încălcarea dispozițiilor legale ce protejează rețelele și sistemele informatice precum și datele stocate ori transmise de acestea.

·      CERT-RO poate să nu efectueze în mod direct teste asupra sistemelor raportate ca vulnerabile și poate să nu reconstituie pașii stipulați de Raportor pentru identificarea vulnerabilităților raportate.

·      Contactarea Deținătorului se va face doar în cazul în care sunt respectate condițiile de raportare atât din punct de vedere tehnic cât și juridic.

·      Serviciul de raportare este furnizat în limita resurselor disponibile la nivel instituțional și ca urmare a unui proces de prioritizare.

Confidențialitate:

·      Serviciul de raportare vulnerabilități este furnizat cu respectarea cerințelor legale privind protecția vieții private și a datelor cu caracter personal.

·      CERT-RO asigură confidențialitatea informațiilor primite și transmise, precum și a identității părților implicate în cadrul procesului CVD cu respectarea legii. Părțile își pot da acordul expres cu privire la publicarea de către CERT-RO a unora din informațiile din categoriile susmenționate.

 

Ghid de raportare prin CERT-RO

Precauții privind identificarea vulnerabilităților

  1. Vor fi avute în vedere dispozițiile legale aplicabile rețelelor și sistemelor cu privire la care se face identificarea vulnerabilităților.
  2. Pentru evitarea acțiunilor ce întrunesc elementele constitutive ale infracțiunilor din sfera criminalității informatice, este obligatorie limitarea acțiunilor de testare la strictul necesar pentru a dovedi existența vulnerabilității.
  3. În cazul identificării de vulnerabilități de la distanță (prin internet), odată identificată și documentată breșa de securitate ce ar permite accesarea unui sistem informatic, activitatea de testare se sistează. Nu se va întreprinde acțiunea efectivă de exploatare a breșei de securitate, chiar dacă aceasta ar putea ajuta la identificarea și altor vulnerabilități în interiorul sistemelor vizate întrucât:
    1. Fără acordul expres al deținătorului, accesarea rețelelor și sistemelor dincolo de identificarea primei vulnerabilități poate fi încadrată în categoria accesului ilegal la sistem informatic (prevăzută de Articolul 360 Cod Penal).
    2. Interacțiunea cu rețeaua și/sau sistemul informatic vulnerabil exploatând vulnerabilitatea inițială poate presupune transferul neautorizat de date din sistem informatic putând duce și la afectarea integrității ori disponibilității sistemului informatic sau a datelor conținute, fapte de natură penală.

 

IMPORTANT: Serviciul de Raportare Vulnerabilități pus la dispoziție de către CERT-RO este dedicat profesioniștilor în securitatea rețelelor și sistemelor informatice precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu sau sistem informatic oferit publicului și doresc să o semnaleze spre remediere. Prezentul serviciu nu constituie sub nici o formă îndemn la comiterea de fapte penale iar textele din prezenta secțiune nu constituie bază legală pentru efectuarea de activități de ethical hacking (ex. teste de penetrare) sau alte tipuri de activități în legătură cu rețelele și sistemele informatice care nu le aparțin ori pentru care nu dețin dreptul de a le testa.

 

Procedura de raportare prin CERT-RO:

  • Documentați din punct de vedere tehnic și descriptiv vulnerabilitatea precum și pașii și tehnicile necesare pentru punerea în evidență a acesteia.
  • Descrieți modul în care a fost descoperită vulnerabilitatea și dacă a fost sau nu publicată în orice format.
  • Utilizați modelul de raportare de mai jos furnizând datele solicitate, inclusiv date de contact valide.
  • În vederea procesării este posibil să fiți contactat pentru confirmarea validității datelor de contact, precum și pentru informații suplimentare în urma verificării validității raportării transmise.
  • Dacă raportarea întrunește condițiile necesare, CERT-RO va contacta Deținătorul/Producătorul și vă va notifica cu privire la demararea procesului de notificare.
  • În funcție de răspunsul primit de la Deținător/Producător și de termenele propuse pentru remediere, CERT-RO vă va ține la curent cu demersurile și stadiul acestora.
  • În urma remedierii vulnerabilităților veți fi notificat cu privire la rezolvare și eliminarea restricției de publicare.

Procedura descrisă poate suferi modificări funcție de situația concretă a procesului precum și funcție de gradul de încărcare al activității instituției.

Conținutul raportării către CERT-RO:

Raportările transmise către CERT-RO trebuie să conțină următoarele informații și secțiuni, inclusiv declarațiile de la final.

Informații despre Raportor: Nume, prenume, localitate, date contact (email, telefon)
Informații despre Deținător: Denumire, date de contact
Informații despre Vulnerabilitatea raportată

·      Descriere tehnică pe scurt (Max. 30 cuvinte. Utilizați pe cât posibil terminologiile de specialitate pentru desemnarea vulnerabilităților identificate)

·      Infrastructura/serviciul/programul la care se referă.

·      Versiune/Sistem de operare/Protocol/etc.

·      Persoane care mai cunosc aspecte referitoare la vulnerabilitatea semnalată

·      Descriere pe larg

·      Pașii necesari pentru reproducerea/demonstrarea vulnerabilității

·      Tehnici și instrumente utilizate

·      Alte mențiuni

Informații cu privire la Publicarea vulnerabilității

·      Timp propus pentru remediere (luni)

·      Interval suplimentar de așteptare (luni)

·      Modalitatea în care doriti să publicati.

·      Doresc să fiu contactat de către Deținător. (Da/Nu)

·      Sunt de acord să fiu intervievat/menționat pe pagina CERT-RO, dacă mi se solicită acest lucru. (Da/Nu)

Declarații (trebuie să se regăsească la finalul raportării transmise):

·      Declar pe proprie răspundere că datele furnizate sunt corecte, complete și corespund adevărului;

·      Declar că am luat la cunoștință de Ghidul de raportare, Termenii și condițiile și Procedura de notificare prin CERT-RO și sunt de acord cu acestea.

Abonare:

·      Doresc ca adresa mea de email să fie inclusă în lista de anunțuri generale referitoare la programul CVD al CERT-RO (DA/NU)

 

 

IMPORTANT: Serviciul de Raportare Vulnerabilități pus la dispoziție de către CERT-RO este dedicat profesioniștilor în securitatea rețelelor și sistemelor informatice precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu sau sistem informatic oferit publicului și doresc să o semnaleze spre remediere. Prezentul serviciu nu constituie sub nici o formă îndemn la comiterea de fapte penale iar textele din prezenta secțiune nu constituie bază legală pentru efectuarea de activități de ethical hacking (ex. teste de penetrare) sau alte tipuri de activități în legătură cu rețelele și sistemele informatice care nu le aparțin ori pentru care nu dețin dreptul de a le testa.