¿Qué es una política CVD (Coordinated Vulnerability Disclosure)? ¿Por qué interesa a Europa y cuál es el grado de madurez en la definición/adopción de las mismas en los países miembros? Este post se dirige a informar sobre estas preguntas, incluyendo un pequeño resumen a modo de tabla sobre el último punto.
La coordinación durante el descubrimiento de vulnerabilidades es esencial para la ciberseguridad, ya que una buena política de notificación y gestión ahorra tiempo que puede invertirse en proteger nuestros sistemas. Estas políticas CVD permiten a su vez mantener la buena harmonía entre los diferentes interesados en todo el proceso.
ENISA cuenta con varios documentos donde se detalla en qué consisten las políticas CVD y cuáles serían los actores involucrados.
De entre ellos, el documento de buenas prácticas que data de 2015 nos proporciona una visión bastante amplia sobre todo el flujo de procesos y los requisitos durante el descubrimiento de vulnerabilidades, procesos que pueden comprender varias fuentes de información.
Pasos más destacados durante el descubrimiento de vulnerabilidades de seguridad. Fuente: ENISAUna buena política de CVD debe adecuarse al contexto para el cual es definida, combinando adecuadamente los procesos y herramientas involucrados durante el proceso de descubrimiento de las vulnerabilidades así como las diferentes técnicas y expertos. Por ejemplo, las metodologías de bug bounty también se incluyen como parte de las técnicas que pueden contribuir a la política de CVD. No obstante, para que estos procesos sean efectivos las soluciones actuales para recopilar, clasificar y cuantificar el riesgo de las vulnerabilidades tienen que ser conocidas y comprendidas igualmente por los expertos del sector.
Pese a que, como se indica, el documento de ENISA tiene ya varios años (así como otros), la adopción de políticas CVD como parte de una estrategia de ciberseguridad común no es a día de hoy una realidad en muchos países. El CEPS realizó un estudio en 2018 sobre el estado de el descubrimiento de vulnerabilidades en Europa, del que se desprende que varios países no tenían por entonces estrategias de ciberseguridad que contemplasen de forma activa políticas CVD.
Tres años después el escenario ha variado favorablemente, como muestra la tabla siguiente, realizada por Rafael López Gómez, alumno en prácticas de la Universidad de Málaga. Sin embargo, aún hay países europeos sin una estrategia clara en materia de ciberseguridad nacional, y esto probablemente dificultará una puesta en común en esta materia.
Evolución de las políticas CSV – Europa, Suiza y Reino UnidoMientras que las políticas CVD definen grosso modo el marco general, las reglas del juego, actores, etc., por detrás están también las tecnologías y condicionantes específicos que pueden acabar afectando a las políticas en última instancia.
País 2018 2021 Austria En progreso Sí Bélgica En progreso Sí Bulgaria No No Croacia No No Chipre No No República Checa No Sí Dinamarca No Sin mención explícita en su estrategia nacional de ciberseguridad 2018-2021 Estonia No Sí Finlandia No No Macedonia del Norte En progreso Sí Francia Sí Sí Alemania En progreso Sí Grecia No Estrategia nacional de ciberseguridad de 2020, en griego Hungría No Estrategia nacional de ciberseguridad de 2018, en húngaro Irlanda No Sin mención explícita en su estrategia nacional de ciberseguridad 2019-2022 Italia En progreso En progreso Letonia En progreso Estrategia nacional de ciberseguridad 2019-2022, en letón Lituania En progreso Sí Luxemburgo En progreso Sí Malta No No Países Bajos Sí Sí Polonia No No Rumanía No No Eslovaquia No Sí Eslovenia En progreso En progreso España No Sí Suecia No No Suiza [Externo UE] No No Reino Unido [Externo UE] En progreso Sí
Es interesante por ejemplo conocer que los entornos industriales tienen sus propias características que requieren la adaptación de las métricas que se emplean para clasificar las vulnerabilidades, como detalla el artículo de INCIBE al respecto. Disponer de un marco común en materia de políticas CVD contemplando las necesidades de los diferentes sectores tal vez podría contribuir a mejorar la cooperación en este ámbito entre países de la unión, algunos de los cuales parecen alejados de intuir la importancia de este tipo de materias.
Si aplicamos el símil de los eslabones de la cadena a Europa (una cadena es tan fuerte como lo sean cada uno de sus eslabones) igual nos queda aún mucho camino por recorrer.
Más información:
- Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations. ENISA. January 2016. https://www.enisa.europa.eu/publications/vulnerability-disclosure
- Economics of Vulnerability Disclosure. ENISA. Diciembre 2018. https://www.enisa.europa.eu/publications/economics-of-vulnerability-disclosure
- State of Vulnerabilities 2018/2019. Analysis of Events in the life of Vulnerabilities. ENISA. January2019. https://www.enisa.europa.eu/publications/technical-reports-on-cybersecurity-situation-the-state-of-c yber-security-vulnerabilities/
- Software Vulnerability Disclosure in Europe: Technology, Policies and Legal Challenges. Report of a CEPS Task Force. June 2018. https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf
- Coordinated Vulnerability Disclosure: Guidelines published by NCSC: https://www.enisa.europa.eu/news/mem...lished-by-ncsc
Por Ana Nieto en https://unaaldia.hispasec.com/2021/09/europa-y-el-descubrimiento-coordinado-de-vulnerabilidades.html
Marcadores