ETSI обнародовал документ для решения проблем с кибербезопасностью продуктов и устройств
Европейский институт по стандартизации в области телекоммуникаций (ETSI), независимая организация по стандартизации в телекоммуникационной промышленности в Европе, выпустила Руководство по скоординированному раскрытию информации об уязвимостях. Технический отчет ETSI TR 103 838 выпущен для помощи компаниям и организациям любого размера по внедрению процесса раскрытия уязвимостей и исправления проблемы с уязвимостями до того, как они станут достоянием общественности.
В Институте поясняют, что безопасность играет решающую роль в разработке и жизненном цикле систем, продуктов и услуг. В любой момент жизненного цикла продукта или услуги может быть обнаружена уязвимость, которая снижает уровень безопасности этого продукта или услуги, если ее не устранить вовремя. Если уязвимость будет обнаружена в процессе разработки, ее нужно устранять до выпуска продукта на рынок. Но уязвимости очень часто обнаруживаются пользователем или поставщиком уже после того, как система безопасности или иная система уже была развернута, либо был установлен продукт или использована услуга. На этой стадии обнаруживший находится в сложной ситуации, поскольку не знает, как и где сообщить об уязвимости.
В таком случае очень важно наличие четко обозначенного процесса раскрытия информации, демонстрирующего, что организация серьезно относится к безопасности. Напротив, если организация не предоставляет маршрут раскрытия уязвимости, лица, обнаружившие уязвимость лица, могут прибегнуть к публичному раскрытию информации, или уязвимости и последующие эксплойты могут остаться незамеченными до тех пор, пока не произойдет серьезное широкомасштабное событие безопасности, которого можно было бы избежать. Такой публичный релиз может нанести ущерб репутации и привести к компрометации компании-производителя систем безопасности или производителя иного продукта или услуг.
Как показала недавняя ошибка безопасности Log4j, раннее выявление и устранение уязвимостей безопасности с помощью схемы CVD должно быть ключевой частью стратегии кибербезопасности каждой компании.
В документе ETSI сказано, что на начало 2022 года только около 20% компаний в области информационных коммуникационных технологий и IoT имеют публично идентифицируемые специальные средства для уведомления компании о потенциально серьезной проблеме безопасности с их продуктами или услугами. Многие компании предоставляют страницу «свяжитесь с нами» на веб-сайте или представлены в социальных сетях, через которые можно сообщить о проблеме безопасности. Однако в большинстве случаев без формального отдельного процесса CVD многие компании не имеют внутреннего процесса для своевременной обработки таких отчетов, особенно если в их продукты включены элементы третьих сторон.
В отчете ETSI перечислены рекомендации по реагированию на раскрытие информации об уязвимостях и управлению ими, указан определенный процесс сортировки, а также содержаться рекомендации по управлению уязвимостями в сторонних продуктах или поставщиках. Приводится и пример политики раскрытия уязвимостей компаниями.
Алекс Ледбитер, председатель TC ETSI по кибербезопасности отмечает, что несмотря на наличие платных схем раскрытия уязвимостей (CVD) у некоторых крупных компаний, подавляющее большинство компаний из сферы ICT и IoT до сих пор не внедрили какие-либо формы схем CVD. По его словам, внедрение CVD имеет особую актуальность для небольших компаний и для компаний, продукты которых не подлежат формальным нормативным требованиям, связанным с кибербезопасностью или тестированием на безопасность. Схемы CVD в одинаковой степени важны как для производителей физических продуктов, так и для поставщиков услуг или приложений.
Существующий стандарт ETSI EN 303 645 под названием «Кибербезопасность для потребительского Интернета вещей: базовые требования», указывает на то, что схема CVD – основное требование для обеспечения постоянной надежной кибербезопасности, предъявляемое к продуктам, выпущенным на рынок. В Институте также указывают на то, что после отказа от использования паролей по умолчанию, неспособность справляться с уязвимостями кибербезопасности продуктов в повседневной жизни, стала причиной, способствующей многим недавним сбоям безопасности продуктов IoT.