Раскрытие уязвимостей по согласованию: норма ЕС, требующая времени для внедрения

В этом интервью для Help Net Security Нуну Родригеш Карвалью, руководитель направления инцидентных и уязвимостных сервисов в ENISA, обсуждает недавний кризис с финансированием CVE и то, что он выявил о хрупкости глобальной инфраструктуры раскрытия уязвимостей. Он описывает, как регуляторные акты ЕС, включая Акт о киберустойчивости и NIS2, создают более строгую подотчётность для вендоров и организаций.

ENISA развивает европейские сервисы по работе с уязвимостями для поддержки государств-членов. Карвалью также затрагивает вопрос о том, как специалисты на практике работают с противоречивыми источниками данных, и утверждает, что программе CVE необходима распределённая модель без единой точки отказа.

Программа CVE долгое время служила единой глобальной точкой отсчёта для идентификации и отслеживания публично раскрываемых уязвимостей, и перебои с финансированием наглядно показали, насколько вся экосистема зависит от идентификаторов CVE как общего ориентира.

Мы не комментируем детали контракта между CISA и MITRE, но подчёркиваем, насколько критически важным является управление уязвимостями для устойчивости ИТ-инфраструктуры к киберугрозам и, как следствие, для глобальной кибербезопасности, которая полагается на предположения о непрерывности работы.

Для Европейского Союза достижение регуляторных, операционных и устойчивостных целей зависит от способности бизнеса эффективно управлять уязвимостями, что, в свою очередь, требует стабильности и устойчивости экосистемы идентификации уязвимостей. Это одна из причин, по которой ЕС и его государства-члены активизируют свои усилия в этой области.

В частности, ENISA наращивает собственные операционные возможности в сфере сервисов по уязвимостям не для того, чтобы фрагментировать экосистему раскрытия уязвимостей, а чтобы усилить операционный вклад Европы в неё, сохранить совместимость с глобальной основой CVE и преобразовывать существующую информацию об уязвимостях в общеевропейские меры по смягчению рисков и общие усилия по снижению угроз в поддержку государств-членов, CSIRT и внутреннего рынка ЕС.

Европейское регулирование в этой сфере становится всё более значимым. Основные механизмы принуждения в ЕС формируются в рамках Акта о киберустойчивости (CRA), который обязывает производителей продуктов с цифровыми элементами, размещаемых на рынке ЕС, сообщать об активно эксплуатируемых уязвимостях и серьёзных инцидентах в установленные сроки через Единую платформу отчётности (SRP), разрабатываемую и управляемую ENISA. Эти обязательства (предупреждение в течение 24 часов, уведомление в течение 72 часов и последующая отчётность) будут частью более широкой системы безопасности продукции и рыночного надзора.

Мы ожидаем, что эти меры приведут к повышению внимания производителей цифровых продуктов к управлению уязвимостями и улучшат текущую практику в части оценки серьёзности и раскрытия информации.

В конечном итоге производитель должен нести ответственность за точную оценку уязвимости и предоставление своим клиентам и широкому сообществу возможности управления рисками при её обнаружении. Помимо CRA, который устанавливает более строгую юридическую ответственность за своевременное устранение, отчётность и исправление уязвимостей, их координация (и, следовательно, сроки раскрытия) обеспечивается назначенными координаторами государств-членов ЕС на основе национальных политик скоординированного раскрытия уязвимостей (в соответствии с NIS2). С другой стороны, база данных уязвимостей ЕС (EUVD) способствует прозрачности, объединяя доступную информацию о них в своих записях.

Стоит отметить, что обязательства возлагаются не на организации (производителя или субъекты NIS2). Обязанность получать информацию лежит на CSIRT.

Культурная адаптация определённо потребуется, но также необходимо помнить, что организации начинают не с нуля. Во многих секторах к раскрытию информации об уязвимостях исторически подходили крайне осторожно. Юридические отделы, вполне обоснованно, беспокоились о репутационных рисках, юридической ответственности или потенциальном операционном воздействии от раскрытия недостатков безопасности, что часто приводило к довольно оборонительной позиции по отношению к внешним исследователям.

Директива NIS2 (а также Регламент CRA) постепенно делает скоординированное раскрытие уязвимостей стандартной частью управления кибербезопасностью: вместо того чтобы рассматривать сообщения об уязвимостях как исключительные или проблемные события, от организаций ожидается внедрение структурированных процессов для их получения, оценки и координации устранения. Некоторые секторы, особенно те, что имеют более долгую историю взаимодействия с сообществом исследователей безопасности, адаптировались относительно быстро, в то время как другие всё ещё выстраивают внутренние процессы и набираются уверенности для более открытого взаимодействия.

Наблюдения по всему ЕС показывают, что организации адаптируются к этому требованию. Это займёт некоторое время, но всё больше организаций осознают, что современная разработка программного обеспечения требует активного (позитивного) реагирования на сообщения об уязвимостях, что укрепляет безопасность и при грамотном подходе становится весомым конкурентным преимуществом.

На практике специалисты часто полагаются на несколько источников анализа. Управление уязвимостями превратилось в многоуровневый информационный процесс.

Идентификатор уязвимости (например, CVE ID) служит общей точкой отсчёта, позволяя всем участникам экосистемы говорить об одной и той же проблеме, и далее разные организации могут вполне обоснованно предлагать различные аналитические точки зрения.

Национальные группы реагирования на компьютерные инциденты (CSIRT), например, часто фокусируются на контекстной релевантности для своих собственных сообществ, включая отраслевую специфику или региональную активность угроз. Работа NIST по обогащению данных в рамках Национальной базы данных уязвимостей (NVD) обычно сосредоточена на стандартизированной оценке и структурированных метаданных. Для специалиста по безопасности внутри энергетической компании практический подход обычно заключается в комбинации этих перспектив: идентификатор для единообразия, рекомендации поставщиков для руководства по устранению, а также национальные или отраслевые руководства для операционного контекста и «независимых» оценок критичности. Таким образом, мы продолжаем наблюдать взаимодействие между источниками, а не единую окончательную интерпретацию каждой уязвимости.

Однако для решения возможных проблем, связанных с различиями в обогащении, анализе и контекстуализации, ENISA совместно с государствами-членами ЕС работает над дальнейшим развитием европейских сервисов уязвимостей, включая возможности для обогащения информации о них. Эти усилия направлены на укрепление координации и повышение доступности согласованной, контекстно-зависимой и машиночитаемой информации об уязвимостях для своих заинтересованных сторон и от них, что в конечном итоге позволит специалистам принимать более быстрые и обоснованные решения по управлению рисками.

Вместо поиска единого архитектурного решения нам необходимо сосредоточиться на создании действительно устойчивой операционной модели на следующее десятилетие, укрепляя распределённый подход, подотчётность и устойчивость. Глобальная служба такого уровня важности не должна чрезмерно зависеть от потенциальной «единой точки отказа», будь то финансовая, институциональная или операционная. Более сильная модель сохранила бы целостность общей основы CVE, распределяя обязанности между доверенными участниками, которые могут вносить свой вклад в виде мощностей, услуг и операционной поддержки.

С точки зрения ENISA, мы готовы внести свой вклад в программу, параллельно продолжая наращивать потенциал европейских сервисов по работе с уязвимостями.

Вебинар: Реальное состояние безопасности 2026