Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kalteberatasunak

Gráfica vulnerabilidades

The Internet Engineering Task Force (IETF)-en Responsible Vulnerability Disclosure Process-n oinarritutako diagrama.

National Institute Of Standards And Technology (NIST)-ren arabera, ahultasun deitzen zaio informazio-sistemek, sistema bateko segurtasun-prozedurek, barne-kontrolek edo inplementazioek duten ahulezia orori, zeinaren ondorioz, mehatxu bat jasateko arriskuan jartzen baita sistema hori.

European Union Agency for Network and Information Security (ENISA)-k, berriz, ahulezia edo diseinu- edo inplementazio-akats gisa definitzen du, zeinak sistema, sare, aplikazio edo protokolo baten segurtasuna arriskuan jartzen duen gertakari bat eragin baitezake, ustekabean eta nahi gabe.

BCSCn, ahultasunei erantzuteko koordinazio-zerbitzua eskaintzen dugu (Vulnerability response coordination). Horretarako, ahultasunak modu arduratsuan ezagutarazteko politika bat jarraitzen dugu, uste baitugu softwarea eta hardwarea hobetzeko modurik onena dela.

Oro har, fabrikatzaileei lehenengo jakinarazpena bidaltzen zaienetik gehienez 45 eguneko epean zabalduko dira guri bidalitako ahultasunak. Kasu batzuetan –adibidez, ahultasun hori modu oso aktiboan ustiatzen ari denean edo ustiatzeko modu horrek eragin kritikoa duenean– epe gehigarri bat onartuko da, normalean, 14 egunekoa.

Gure funtzioa da “vulnerability response coordination” edo ahultasunei erantzuteko koordinazio-lana egitea, alegia, ahultasuna aurkitzen duenaren eta fabrikatzaileen bitartekari-lanak egitea, komunikazio hori ahalik eta arinena eta zintzoena izan dadin.

Ahultasun baten berri izaten dugunean, bidaltzailearen datuak anonimotzen ditugu, honek aurkakoa esan dezala edo epaile batek eska dezala ezean, berehala jakinarazten diegu fabrikatzaileei kanal seguruen bidez, nahikoa denbora izan dezaten akatsa aztertu eta konpontzeko neurriak hartzeko.

Prozesua azkartzeko, ahultasuna jakinarazteko orduan, eskertzen dugu ahalik eta xehetasun gehien ematea (nola aurkitu den, kontzeptu-frogak, etab.).

Informazioa isilpean mantenduko dela bermatzeko,  PGP gako publikoak erabiltzen ditugu. Hemen daude gako horiek: BCSCri buruz / Gako publikoak.

Ahultasuna hurrengo bideen bidez jakinarazi daiteke: