Veikleikatilkynningarstefna (Vulnerability Disclosure Policy - VDP) er stefna sem veitir fyrirtækjum og stofnunum formlega leið til að búa til einfaldan vettvang fyrir tilkynningar um veikleika. Með slíkum vettvangi geta ytri aðilar sent fyrirtækjum og stofnunum mögulega öryggisveikleika í þeirra kerfum. Fyrir mörg fyrirtæki sem munu flokkast sem mikilvægir innviðir samkvæmt NIS2 lögunum býður Defend Iceland nú upp á einfalda leið til setja á fót slíka stefnu sem mikilvægan hluta af þeirra veikleikastjórnunar reglum.

VDP skilgreinir meðal annars: 

• Hvernig hægt er að tilkynna veikleika
• Hvaða kerfi eru innan umfangs
• Hvernig fyrirtækið bregst við tilkynningum 
• Skýrar “safe harbor” reglur fyrir tilkynnendur sem starfa í góðri trú
• Lagalega skýra umgjörð fyrir ábyrgar tilkynningar
• Reglur um opinbera birtingu veikleika (Disclosure Policy)

Þetta skapar traust, skýrleika og fyrirsjáanleika bæði fyrir fyrirtæki og þá sem uppgötva veikleika.

Veikleikastjórnun snýst um að finna, taka á móti, meta, forgangsraða, laga og fylgja eftir veikleikum í upplýsingakerfum. VDP stefna er formleg leið til að efla veikleikastjórnun aðila með því að virkja leið svo hægt sé að koma veikleikum á framfæri og þannig uppfylla kröfur NIS2 um virka og stöðuga veikleikstjórnun.  

Öll fyrirtæki og stofnanir eru með veikleika. Spurningin er ekki hvort þeir finnist - heldur hvernig þú færð að vita af þeim. Fyrir of marga er það að vakna upp við að gögn fyrirtækisins hafa verið tekin í gíslingu. Góð veikleikastjórnun krefst ekki lengur bara þess að notast sé við veikleikaskönnunartól eða að framkvæmd sé einstaka öryggisúttekt heldur að jafnframt sé mikilvægt að gefa ytri aðilum skilgreinda leið til að geta fundið og látið vita af mögulegum öryggisógnum.  

VDP einfaldar vegferðina í að búa til staðlaða leið til að tilkynna veikleika og þannig virkja heiðarlega hakkara og öryggisérfræðinga. Fyrir öryggissérfræðinga og hakkara er þetta skilgreind leið til þess að geta leitað uppi öryggisveikleika án þess að þurfa að óttast viðurlög eða hefndaraðgerðir umræddra fyrirtækja og stofnana. 

Með VDP lausn Defend Iceland:

• Berast veikleikatilkynningar beint til þín
• Á öruggan, skipulagðan og löglega skýran hátt
• Hafa hakkarar skilgreindar og staðlaðar vinnureglur 

Öll fyrirtæki og stofnanir sem munu heyra undir NIS2 þurfa að hafa fastmótað ferli fyrir meðhöndlunar á veikleika og birtingar veikleikaupplýsinga sem hluta af öryggi við öflun, þróun og viðhald kerfa sinna og er VDP mikilvægur hlekkur í því. Að sama skapi er mikilvægt að tryggja hökkurum vernd, og stefna um ábyrgar tilkynningar á öryggisveikleikum veitir einmitt það. Þetta er einföld leið til að opna á upplýsingagjöf sem hjálpar þér að byrja smátt, byggja upp traust og efla öryggi frá fyrsta degi. VDP heimilar ekki óheftar öryggisprófanir og felur ekki í sér greiðslu verðlauna fyrir veikleika, hún skilgreinir eingöngu ábyrga tilkynningar leið fyrir ytri aðila.

VDP og NIS2 

NIS2-tilskipunin leggur áherslu á skipulagða meðhöndlun veikleika, skýra ferla fyrir öryggisatvik og ábyrga upplýsingagjöf í samstarfi við ytri aðila. 

Tilskipunin kveður á um að aðildarríki og þau sem heyra undir EES setji upp stefnu fyrir samræmda upplýsingagjöf um veikleika (Coordinated Vulnerability Disclosure - CVD), sem gerir það að verkum að fyrirtæki sem falla undir NIS2 þurfa að geta tekið á móti, greint og brugðist við veikleikatilkynningum á skilvirkan og rekjanlegan hátt. 

Vel skilgreind VDP stefna er einföld og áhrifarík leið til að styðja við þessa kröfu, með því að tryggja stöðugt ferli fyrir móttöku og úrbætur veikleika, draga úr líkum á alvarlegum öryggisatvikum og sýna fram á fyrirbyggjandi áhættustýringu í samræmi við NIS2. 

NIS2 gerir þá kröfu að viðkomandi aðilar:

• Hafi ferla til að greina og meðhöndla veikleika frá ytri aðilum
• Þurfi ekki að óttast kærur svo framarlega sem þeir fylgja skilmálum VDP stefnunnar og starfa í góðri trú
• Geti brugðist tímanlega við öryggisatvikum
• Sýni fram á skipulagt verklag

VDP er því sterkt tól til að auðvelda fyrirtækjum að uppfylla kröfu NIS2 um veikleikastjórnun.

Greinarmunur er á því hvað fellur undir skyldu ríkisins/stjórnvalda að gera í þessum efnum og hvað telst vera skylda á aðila (krítíska og mikilvæga innviði).

Hlutverk stjórnvalda

Samkvæmt NIS2 bera ríki ábyrgð á að móta heildstæða stefnu um stjórnun veikleika og stuðla að samræmdri birtingu upplýsinga um veikleika á landsvísu. Þar gegna landsbundin CERT-teymi lykilhlutverki við vöktun, greiningu og miðlun upplýsinga um netógnir og veikleika, auk samskipta við evrópskar stofnanir á borð við ENISA.

Skyldur aðila (krítískir og mikilvægir innviðir)

Aðilar sem falla undir NIS2, bæði nauðsynlegir og mikilvægir aðilar, þurfa að uppfylla kröfur 21. gr. tilskipunarinnar um stjórnunarkerfi netöryggis. Þar er sérstaklega kveðið á um að öryggisráðstafanir skuli ná til:

• meðhöndlunar veikleika
• og birtingar upplýsinga um veikleika

Þessi stjórnun þarf að vera virk, skjalfest og hluti af reglubundnu verklagi.

Uppfylltu kröfur NIS2, bættu öryggi og byggðu traust.

Ertu með spurningar? Endilega hafðu samband hér