CERT-RO a participat la cea de-a doua întâlnire cu privire la inițiativa GFCE de divulgare coordonată și responsabilă a vulnerabilităților de securitate

Foto: CERT-RO

GFCE este un forum global destinat schimbului de bune practici și expertiză cu privire la consolidarea capacităților cibernetice.

Scopul acestuia este de a identifica politici, idei sau practici de succes, care ulterior vor fi aplicate la nivel global. Astfel, membrii și partenerii GFCE cooperează pentru  a dezvolta inițiative practice în scopul combaterii criminalității cibernetice, protejării datelor existente în mediul online și sprijinirii guvernării digitale.

Cooperarea dintre organizațiile și comunitatea securității cibernetice pot fi de ajutor în identificarea și remedierea vulnerabilităților. Un mecanism de cooperare, care este deja utilizat ca atare este îl reprezintă divulgarea coordonată și responsabilă a vulnerabilităților de securitate (coordinated vulnerability disclosure – CVD).

România, Olanda, Ungaria și compania HP au făcut primul pas în coordonarea acestei noi inițiative. În esență, aceasta este o formă de cooperare în care vulnerabilitățile de securitate sunt raportate către proprietarul sistemului de informații. Astfel, organizația vizată are posibilitatea de a diagnostica și remedia problema, înainte ca detalii complete despre vulnerabilitatesă devină publice.

Scopul acestei reuniuni este dezbaterea ideii ca mediul privat și societatea în general să beneficieze de acest proces de divulgare a vulnerabilităților, identificate în urma unor teste de penetrare efectuate de hackeri.

Rebranduirea hacking-ului ca un serviciu public ar putea fi fezabilă, atâta timp cât atacatorul efectuează teste de exploatare a vulnerabilității în interiorul unui mediu off-line de laborator. Un alt mediu de testare îl reprezintă servicii sau produse online, care ar permite utilizatorilor finali să exploateze diverse vulnerabilități. Scopul final al pen-testerilor este de a notifica vendorii de eventuale bug-uri de securitate.

Astfel, problema nu este generarea unor noi legi împotriva criminalității informatice, ci mai degrabă alegerea unor noi limite legale, care se potrivesc mai bine nevoilor informaționale ale societății.

Cooperarea cu comunitatea ICT este esențială în urmărirea colectivă a securității cibernetice. Alte țări si companii pot beneficia de pe urma introducerii unei astfel de politici, deoarece crește încrederea în comunitatea ICT și ajută la atenuarea multor amenințări, înainte ca acestea să devină publice.

Cea de-a doua întîlnire a experților, București, 10 noiembrie 2016

Prima întâlnire între partenerii proiectului a avut loc la Budapesta pe 23 martie 2016. Aici s-au pus bazele unor practici de urmat pentru organizații și s-a alcătuit un ghid care ajută în procesul de implementare a propriei politici de divulgare coordonată a vulnerabilităților de securitate.

Cea de-a doua întâlnire a grupului de experți a avut loc joi,  10 noiembrie 2016 la Hotel Caro din București. La întrunire au participat reprezentanți guvernamentali din România, Olanda, Ungaria, Statele Unite și Letonia și companii private precum Bitdefender, Microsoft, HP , Kaspersky, BIT Sentinel sau Swiss Web Academy. Din partea CERT-RO a participat dl director general Augustin Jianu.

În cadrul evenimentului s-au discutat aspecte legate de:

·         crearea unui cadru național pentru politica de divulgare responsabilă;

·         adresarea problemelor legate de barierele legislative în cazul implementării noii politici;

·         includerea unui punct de vedere al pen-testerilor din industrie, referitor la această inițiativă;

·         creșterea rețelei nou formate, cu scopul creării unor politici naționale CVD;

·         stabilirea unei metodologii de lucru pentru elaborarea conceptelor legale la care se face referire, a infrastructurilor și a documentelor necesare implementării.