IMPORTANT: Serviciul de Raportare Vulnerabilități pus la dispoziție de către CERT-RO este dedicat profesioniștilor în securitatea rețelelor și sistemelor informatice precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu sau sistem informatic oferit publicului și doresc să o semnaleze spre remediere. Prezentul serviciu nu constituie sub nici o formă îndemn la comiterea de fapte penale iar textele din prezenta secțiune nu constituie bază legală pentru efectuarea de activități de ethical hacking (ex. teste de penetrare) sau alte tipuri de activități în legătură cu rețelele și sistemele informatice care nu le aparțin ori pentru care nu dețin dreptul de a le testa. |
Identificarea și adresarea promptă a vulnerabilităților a devenit extrem de importantă în societatea digitală actuală în care concurența și avansul tehnologic rapid reduc timpul alocat testării, sub presiunea lansării de noi produse și servicii pe piață, iar complexitatea produselor face imposibilă testarea exhaustivă, indiferent de resursele alocate.
Exploatarea de către entități rău-intenționate a vulnerabilităților are consecințe negative importante pe plan economic și social, putând însemna pentru companii, compromiterea afacerii, pierderi financiare și chiar faliment, pentru instituții imposibilitatea îndeplinirii misiunii, compromiterea activității și datelor cetățenilor iar pentru utilizatori și cetățeni pierderea încrederii în serviciile digitale și în capacitatea statului de a-i ajuta și proteja.
Ca instituție a statului român, CERT-RO – prin prevederile HG 494/2011, art. 6 lit. b) trebuie să poată procesa informații cu privire la vulnerabilitățile sistemelor informatice, alături de cele referitoare la incidente de securitate cibernetică și cele referitoare la amenințări informatice și să întrețină o bază de date referitoare la aceste vulnerabilități. În aceste condiții, CERT-RO trebuie sa răspundă cu succes sarcinilor trasate și în absența unui cadrul legislativ anume stabilit pentru rezolvarea vulnerabilităților, prin implementarea CVD (Coordinated Vulnerability Disclosure).
Navigare rapidă secțiuni:
Forme de cooperare și bunele practici în domeniul divulgării vulnerabilităților
Raportarea vulnerabilităților prin CERT-RO
Ghid de raportare prin CERT-RO
Conținutul raportării către CERT-RO
Divulgarea coordonată și responsabilă a vulnerabilităților - ”CVD” este forma de cooperare dintre Deținătorii/Producătorii de servicii, sisteme și programe informatice și Raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele două părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producători și cercetători în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate.
În absența unui cadru juridic dedicat, metodele concrete utilizate pentru cooperarea prin CVD se bazează pe stabilirea unei relații de încredere între Deținători/Producători și/sau Raportori. În stabilirea relației de încredere pot contribui și terțe părți (neutre) în vederea sprijinirii derulării în bune condiții a procesului de divulgare a vulnerabilităților identificate.
Cetățenii interesați de securitatea informatică, cercetătorii independenți și companiile de securitate din domeniu au un rol tot mai important în identificarea de vulnerabilități și remedierea lor în faza de utilizare/exploatare a serviciilor, rețelelor și sistemelor informatice contribuind la îmbunătățirea climatului de securitate prin cooperarea în cadrul mecanimelor CVD pentru:
În ultimii ani a crescut interesul în dezvoltarea formelor de cooperare bazate pe spiritul de inițiativă și dorința de a contribui la climatul de securitate cibernetică a cetățenilor, fiind tot mai frecvent întâlnite:
În contextul necesităților de a putea procesa semnalări referitoare la vulnerabilitățile cibernetice pe care Raportorii le transmit către CERT-RO în calitate de punct de contact (terț neutru) pentru a se asigura condițiile de încredere între Raportori și Deținători/Producători, instituția noastră trebuie să asigure un cadru pentru derularea acestei activități.
Astfel, cu sprijinul MAE, România este parte a inițiativei Global Forum on Cyberexpertise (GFCE) de promovare a adopției mecanismelor CVD de către state, guverne, companii și instituții deținătoare sau administratori de servicii, rețele sau sisteme informatice destinate publicului.
În formatul GFCE, CERT-RO participă activ la demersuri la nivel național și internațional în vederea creșterii gradului de încredere și cooperare pentru îmbunătățirea climatului de securitate a rețelelor și sistemelor informatice.
Ca parte a inițiativei CVD, CERT-RO încurajează la nivel național:
În acest scop, CERT-RO:
Raportarea vulnerabilităților prin CERT-RO, are la bază art. 6 lit b) și c) din HG 494/2011 care precizează că:
Pentru îndeplinirea acestor atribuții, CERT-RO a instituit un Serviciu de Raportare Vulnerabilități (SRV) cu scopul stabilirii contactului și medierii între Raportori și Deținători/Producători în vederea remedierii vulnerabilităților constatate.
Acest demers urmează recomandările ENISA cu privire la îmbunătățirea peisajului actual în domeniul divulgării responsabile a vulnerabilităților prin introducerea unei părți terțe neutre pentru a coordona divulgarea vulnerabilităților.
IMPORTANT: Serviciul de Raportare Vulnerabilități pus la dispoziție de către CERT-RO este dedicat profesioniștilor în securitatea rețelelor și sistemelor informatice precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu sau sistem informatic oferit publicului și doresc să o semnaleze spre remediere. Prezentul serviciu nu constituie sub nici o formă îndemn la comiterea de fapte penale iar textele din prezenta secțiune nu constituie bază legală pentru efectuarea de activități de ethical hacking (ex. teste de penetrare) sau alte tipuri de activități în legătură cu rețelele și sistemele informatice care nu le aparțin ori pentru care nu dețin dreptul de a le testa. |
Procedura descrisă poate suferi modificări funcție de situația concretă a procesului precum și funcție de gradul de încărcare al activității instituției.
Raportările transmise către CERT-RO trebuie să conțină următoarele informații și secțiuni, inclusiv declarațiile de la final.
Informații despre Raportor: Nume, prenume, localitate, date contact (email, telefon) · Descriere tehnică pe scurt (Max. 30 cuvinte. Utilizați pe cât posibil terminologiile de specialitate pentru desemnarea vulnerabilităților identificate) · Infrastructura/serviciul/programul la care se referă. · Versiune/Sistem de operare/Protocol/etc. · Persoane care mai cunosc aspecte referitoare la vulnerabilitatea semnalată · Descriere pe larg · Pașii necesari pentru reproducerea/demonstrarea vulnerabilității · Tehnici și instrumente utilizate · Alte mențiuni Informații cu privire la Publicarea vulnerabilității · Timp propus pentru remediere (luni) · Interval suplimentar de așteptare (luni) · Modalitatea în care doriti să publicati. · Doresc să fiu contactat de către Deținător. (Da/Nu) · Sunt de acord să fiu intervievat/menționat pe pagina CERT-RO, dacă mi se solicită acest lucru. (Da/Nu) Declarații (trebuie să se regăsească la finalul raportării transmise): · Declar pe proprie răspundere că datele furnizate sunt corecte, complete și corespund adevărului; · Declar că am luat la cunoștință de Ghidul de raportare, Termenii și condițiile și Procedura de notificare prin CERT-RO și sunt de acord cu acestea. Abonare: · Doresc ca adresa mea de email să fie inclusă în lista de anunțuri generale referitoare la programul CVD al CERT-RO (DA/NU) |
IMPORTANT: Serviciul de Raportare Vulnerabilități pus la dispoziție de către CERT-RO este dedicat profesioniștilor în securitatea rețelelor și sistemelor informatice precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu sau sistem informatic oferit publicului și doresc să o semnaleze spre remediere. Prezentul serviciu nu constituie sub nici o formă îndemn la comiterea de fapte penale iar textele din prezenta secțiune nu constituie bază legală pentru efectuarea de activități de ethical hacking (ex. teste de penetrare) sau alte tipuri de activități în legătură cu rețelele și sistemele informatice care nu le aparțin ori pentru care nu dețin dreptul de a le testa. |