Od początku sierpnia CERT Polska ma możliwość katalogowania publicznie ujawnionych luk bezpieczeństwa w międzynarodowej bazie. W Europie jest tylko 7 takich organizacji.
CERT Polska dołączył tym samym do wyjątkowego grona instytucji, które dbają o międzynarodowy katalog podatności. To jedyna instytucja w naszym kraju i jeden z siedmiu CERT-ów Europy, które mają takie uprawnienia.
Potrzebowaliśmy w Polsce organizacji działającej w programie CVE i od dziś ją mamy – podkreśla Sebastian Kondraszuk, kierownik CERT Polska.
Organizacje i firmy dbające o cyberbezpieczeństwo na świecie korzystają z jednolitego, międzynarodowego, ogólnodostępnego katalogu podatności, tworzonego w ramach programu CVE – Common Vulnerabilities and Exposures. Dzięki niemu działają na czymś w rodzaju encyklopedii luk bezpieczeństwa, gdzie wszystkie znane podatności mają swój indeks, można je łatwo znaleźć, zapoznać się z opisem, historią i oceną ryzyka. Tu też często znajdują się informacje o tym, w jakich wersjach oprogramowania występują luki i czy wciąż są groźne, kto je odkrył i kiedy. To wszystko znacząco podnosi skuteczność reagowania na zagrożenia w sektorze publicznym i prywatnym.
Ponadto organizacja CVE wspiera ujawnianie luk bezpieczeństwa w oprogramowaniu. Dzięki temu organizacje pomagają sobie wzajemnie. W końcu wszystkim powinno zależeć na tym, by oprogramowanie było bezpieczne. Lista CVE zasila też amerykańską National Vulnerability Database (nist.gov), która jest jednocześnie świetnym portalem do przeglądania rekordów CVE.
Jak to działa? Każdy, kto znajdzie podatność, może zgłosić ją do organizacji zajmującej się przypisywaniem numerów – CVE Numbering Authority. Na barkach tej organizacji spoczywa weryfikacja zasadności zgłoszenia oraz dbanie o jakość informacji w bazie CVE. Od 1 sierpnia CERT Polska należy do tego grona. W świecie cyberbezpieczeństwa to wielki zaszczyt i odpowiedzialność zarazem. To także potwierdzenie wysokich kompetencji polskiego CERT-u.
CVE czyli Common Vulnerabilities and Exposures to międzynarodowy program wspierający ujawnianie luk bezpieczeństwa w oprogramowaniu komputerowym. Każda osoba, która znajdzie podatność, może zgłosić ją do organizacji będącej CNA, czyli CVE Numbering Authority. Są to organizacje, które oceniają zasadność zgłoszenia, nadają podatnościom numery i dbają o jakość bazy. Od dziś taką właśnie funkcję pełni CERT Polska.
Źródło zdjęć: Dobra Kobra / Shutterstock
Źródło tekstu: CERT Polska
