Od 1 sierpnia 2023 r. CERT Polska może poszczycić się nową funkcją. Jako jedyna instytucja w kraju i jeden z siedmiu CERT-ów w Europie ma możliwość nadawania numerów CVE. Służą one identyfikacji oraz katalogowaniu publicznie ujawnionych podatności.
– Działanie na jednolitej bazie podatności znacząco podnosi skuteczność reagowania po stronie firm i instytucji. Potrzebowaliśmy w Polsce organizacji działającej w programie CVE i od dziś ją mamy – mówi Sebastian Kondraszuk, kierownik CERT Polska.
CVE – co to jest?
CVE – Common Vulnerabilities and Exposures jest międzynarodowym programem wspierający, ujawnianie luk bezpieczeństwa w oprogramowaniu komputerowym. Każda osoba znajdująca podatność może zgłosić ją do organizacji będącej CNA – CVE Numbering Authority. Organizacje te oceniają zasadność zgłoszenia. Następnie nadają podatnościom numery i dbają o bazę podatności.
Baza CVE jest publiczna i dostęp do niej jest dla każdego nieodpłatny. Baza jest podstawą dla organizacji z całego świata, którą wykorzystują w identyfikacji i śledzeniu informacji o nowych lukach bezpieczeństwa. Lista przygotowywana przez CNA zasila także amerykańską Narodową Bazę Danych Podatności (NVD).
CERT Polska w gronie CNA
– Udział CERT Polska w programie to niezwykle istotny element w planie naszego rozwoju. Jest to także ważny punkt na mapie obowiązków wynikających z Dyrektywy NIS 2 – zaznacza Sebastian Kondraszuk.
Znalezienie się w gronie CNA to dla CERT Polska dowód na wysokie standardy obsługi tego typu zgłoszeń. O polityce zgłaszania podatności do CERT Polska oraz o tym, jak działa program CVE można przeczytać na stronie cert.pl.
