¿Qué es una política CVD (Coordinated Vulnerability Disclosure)? ¿Por qué interesa a Europa y cuál es el grado de madurez en la definición/adopción de las mismas en los países miembros? Este post se dirige a informar sobre estas preguntas, incluyendo un pequeño resumen a modo de tabla sobre el último punto.
La coordinación durante el descubrimiento de vulnerabilidades es esencial para la ciberseguridad, ya que una buena política de notificación y gestión ahorra tiempo que puede invertirse en proteger nuestros sistemas. Estas políticas CVD permiten a su vez mantener la buena harmonía entre los diferentes interesados en todo el proceso.
ENISA cuenta con varios documentos donde se detalla en qué consisten las políticas CVD y cuáles serían los actores involucrados. De entre ellos, el documento de buenas prácticas que data de 2015 nos proporciona una visión bastante amplia sobre todo el flujo de procesos y los requisitos durante el descubrimiento de vulnerabilidades, procesos que pueden comprender varias fuentes de información.
Una buena política de CVD debe adecuarse al contexto para el cual es definida, combinando adecuadamente los procesos y herramientas involucrados durante el proceso de descubrimiento de las vulnerabilidades así como las diferentes técnicas y expertos. Por ejemplo, las metodologías de bug bounty también se incluyen como parte de las técnicas que pueden contribuir a la política de CVD. No obstante, para que estos procesos sean efectivos las soluciones actuales para recopilar, clasificar y cuantificar el riesgo de las vulnerabilidades tienen que ser conocidas y comprendidas igualmente por los expertos del sector.
Pese a que, como se indica, el documento de ENISA tiene ya varios años (así como otros), la adopción de políticas CVD como parte de una estrategia de ciberseguridad común no es a día de hoy una realidad en muchos países. El CEPS realizó un estudio en 2018 sobre el estado de el descubrimiento de vulnerabilidades en Europa, del que se desprende que varios países no tenían por entonces estrategias de ciberseguridad que contemplasen de forma activa políticas CVD.
Tres años después el escenario ha variado favorablemente, como muestra la tabla siguiente, realizada por Rafael López Gómez, alumno en prácticas de la Universidad de Málaga. Sin embargo, aún hay países europeos sin una estrategia clara en materia de ciberseguridad nacional, y esto probablemente dificultará una puesta en común en esta materia.
| País | 2018 | 2021 |
| Austria | En progreso | Sí |
| Bélgica | En progreso | Sí |
| Bulgaria | No | No |
| Croacia | No | No |
| Chipre | No | No |
| República Checa | No | Sí |
| Dinamarca | No | Sin mención explícita en su estrategia nacional de ciberseguridad 2018-2021 |
| Estonia | No | Sí |
| Finlandia | No | No |
| Macedonia del Norte | En progreso | Sí |
| Francia | Sí | Sí |
| Alemania | En progreso | Sí |
| Grecia | No | Estrategia nacional de ciberseguridad de 2020, en griego |
| Hungría | No | Estrategia nacional de ciberseguridad de 2018, en húngaro |
| Irlanda | No | Sin mención explícita en su estrategia nacional de ciberseguridad 2019-2022 |
| Italia | En progreso | En progreso |
| Letonia | En progreso | Estrategia nacional de ciberseguridad 2019-2022, en letón |
| Lituania | En progreso | Sí |
| Luxemburgo | En progreso | Sí |
| Malta | No | No |
| Países Bajos | Sí | Sí |
| Polonia | No | No |
| Rumanía | No | No |
| Eslovaquia | No | Sí |
| Eslovenia | En progreso | En progreso |
| España | No | Sí |
| Suecia | No | No |
| Suiza [Externo UE] | No | No |
| Reino Unido [Externo UE] | En progreso | Sí |
Mientras que las políticas CVD definen grosso modo el marco general, las reglas del juego, actores, etc., por detrás están también las tecnologías y condicionantes específicos que pueden acabar afectando a las políticas en última instancia.
Es interesante por ejemplo conocer que los entornos industriales tienen sus propias características que requieren la adaptación de las métricas que se emplean para clasificar las vulnerabilidades, como detalla el artículo de INCIBE al respecto. Disponer de un marco común en materia de políticas CVD contemplando las necesidades de los diferentes sectores tal vez podría contribuir a mejorar la cooperación en este ámbito entre países de la unión, algunos de los cuales parecen alejados de intuir la importancia de este tipo de materias.
Si aplicamos el símil de los eslabones de la cadena a Europa (una cadena es tan fuerte como lo sean cada uno de sus eslabones) igual nos queda aún mucho camino por recorrer.
Más información:
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations. ENISA. January 2016. https://www.enisa.europa.eu/publications/vulnerability-disclosure
Economics of Vulnerability Disclosure. ENISA. Diciembre 2018. https://www.enisa.europa.eu/publications/economics-of-vulnerability-disclosure
State of Vulnerabilities 2018/2019. Analysis of Events in the life of Vulnerabilities. ENISA. January2019. https://www.enisa.europa.eu/publications/technical-reports-on-cybersecurity-situation-the-state-of-c yber-security-vulnerabilities/
Software Vulnerability Disclosure in Europe: Technology, Policies and Legal Challenges. Report of a CEPS Task Force. June 2018. https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf
