Koordinēta ievainojamību atklāšana informācijas un komunikāciju tehnoloģiju resursos

Globāli ar koordinētu ievainojamību atklāšanu saprot procesu, kura ietvaros informācija par iespējamo ievainojamību IKT produktos vai pakalpojumos tiek sniegta resursu turētājiem, saistītajiem izstrādātajiem, ražotājiem vai pakalpojumu sniedzējiem. Informācija par ievainojamību ļauj diagnosticēt un novērst drošības nepilnību pirms detalizēta informācija tiek atklāta trešajām personām vai plašākai sabiedrībai.

CERT.LV ir izstrādājusi un 2023. gadā padarījusi publiski pieejamu ievainojamību ziņošanas platformu – cvd.cert.lv, kuras mērķis ir koordinēt un atvieglot saziņu starp drošības pētniekiem un informācijas un komunikāciju tehnoloģiju resursu turētājiem. Platformas izstrādē ievērotas TID 2 direktīvas (pazīstama arī kā NIS2 direktīva) prasības. TID 2 direktīvā iekļautais apliecina, ka ievainojamību ziņošana ir svarīga visās dalībvalstīs, lai stiprinātu kopējo kibernoturību.

CERT.LV uzdevums ir sniegt atbalstu IKT resursu turētājiem un fiziskām un juridiskām personām, kas ziņo par ievainojamību, kā arī sekot ievainojamību novēršanas procesam un termiņiem un pārvaldīt gadījumus, kad ziņotā ievainojamība varētu būtiski ietekmēt resursu turētājus vairākās dalībvalstīs. 

Nacionālās kiberdrošības likums, kas stāsies spēkā no 2024.gada 1.septembra un ar kura starpniecību Latvijā tiek ieviesta TID 2 direktīva, paredz, ka drošības pētniekiem, konstatējot ievainojamību, par to jāziņo CERT.LV. To var izdarīt, rakstot uz cvd@cert.lv vai brīvprātīgi reģistrējot ievainojamību cvd.cert.lv platformā.

CVD platformas priekšrocības saistītas ar iespēju visām iesaistītajām pusēm būt vienotā saziņā un daudz pārskatāmāk koordinēt ievainojamības atklāšanas procesu. TID 2 direktīva paredz, un CERT.LV nodrošina iespēju drošības pētniekiem par atklātajām ievainojamībām ziņot anonīmi, rakstot uz cvd@cert.lv no anonimizēta e-pasta.

Kas attiecas uz koordinētu ievainojamību novēršanu – tad Nacionālās kiberdrošības likumā kā minimālais termiņš paredzēts 90 dienas, taču tas pagarināms pēc nepieciešamības, ja pastāv objektīvi iemesli. Te būtu jāņem vērā skarto sistēmu apjoms, sarežģītība un citi apstākļi. CERT.LV seko līdzi ievainojamību novēršanai un veic pēckontroli pēc ievainojamības novēršanas.

Veiksmīgai ievainojamības atklāšanas procesa norisei ir svarīgi, ka abas iesaistītās puses – drošības pētnieks un resursa turētājs - ir vērstas uz sadarbību.

Eiropas Savienība paredzējusi, ka dalībvalstis sadarbībā ar ENISA, veic pasākumus, lai veicinātu koordinētu ievainojamību izpaušanu, tai skaitā, izstrādājot pamatnostādnes, kas palīdzētu risināt aktuālo jautājumu par dalībvalstu tiesību aktiem, kas attiecas uz iespējamo kriminālatbildību un civiltiesisko atbildību, gadījumos, kad tiek veikta koordinēta ievainojamību atklāšana.

Jau šobrīd Nacionālās kiberdrošības likums sniedz norādi par pieļaujamo rīcību, veicot koordinētu ievainojamību atklāšanu, proti, drošības pētniekam koordinētu ievainojamību atklāšanas procesā būtu jāvadās pēc Nacionālās kiberdrošības likumā aprakstītās kārtības un jāizvairās no krimināli sodāmas rīcības.