Odpovědné zveřejnění

Odpovědný prozrazení odkazuje na osvědčený postup, kterým se řídí většina bezpečnostních výzkumníků, a to nezveřejňování kritických informací zranitelnost v softwarovém produktu, dokud nebude snadno k dispozici záplata nebo oprava od dodavatele. To se často projeví, když týmy jako například Projekt Zero od Googlu, tým vytvořený za účelem objevování a opravování bezpečnostních chyb, odhalování zranitelností a nezveřejňování informací veřejnosti. Důvod, proč bezpečnostní analytici a výzkumníci nemohou informace veřejně sdílet, je ten, že hackeři a kyberzločinci často mnohem rychleji útočí a zneužívají oznámenou zranitelnost, než dodavatelé stihnou vytvořit záplatu, a zákazníci mohou tuto záplatu nasadit, aby chránili sebe a své sítě, data a systémy. Proto se tomu říká zodpovědné zveřejňování a je to považováno za osvědčený postup, ačkoli neexistují žádné zákony, které by bezpečnostní výzkumníky nutily k jeho dodržování. 

Související podmínky: Bug Bounty Programy,Zranitelnost, Zranitelnost nultého dne

Související čtení: Výzvy kybernetického výzkumu a zveřejňování zranitelností pro propojená zdravotnická zařízení

Zdroj: CSO online

Měly by malé a střední podniky znát princip odpovědného zveřejňování informací?

Ano. Mnoho malých a středních podniků vyvíjí software pro online distribuci a použití. Jako majitel malé a střední firmy byste měli zvážit inzerci... Program odměn za nalezené chyby pro váš produkt, který podporuje „zodpovědné zveřejňování informací“ bezpečnostními výzkumníky. Jedná se o malou finanční pobídku pro lidi, kteří najdou kritickou chybu ve vašem softwaru, aby vám ho přinesli, místo aby ho prodávali na dark webu nebo deep webu.

Za druhé, malé a střední podniky by měly mít proces správy upozornění na zranitelnosti (Vulnerability Alert Management Process, VAMP), který stanoví cílové časové harmonogramy pro opravu kritických zranitelností v softwaru a hardwaru, které používáte k provozování své firmy. U chyb závažnosti 1, které by mohly vzdáleně ohrozit vaši síť, data nebo systémy, je třeba je opravit co nejdříve.

CyberHoot má proces VAMP, který pomáhá malým a středním podnikům vyvíjet vlastní osvědčené postupy týkající se zranitelností typu Zero-Day, jejich oprav a zodpovědného zveřejňování.

Více informací o zodpovědném zveřejňování zranitelností dodavatelům hardwaru a softwaru naleznete v tomto videu:

https://youtube.com/watch?v=t5UKO4jjevw

Děláte dost pro ochranu svého podnikání?

Zaregistrujte se u CyberHoot ještě dnes a spěte lépe s vědomím svého...

Zaměstnanci jsou vyškoleni v oblasti kybernetické bezpečnosti a jsou ve střehu!

Přihlaš se dnes!