Οι νέες Συστάσεις της EBU αφορούν στα τρωτά σημεία της Κυβερνοασφάλειας.

Η EBU δημοσίευσε ένα ζεύγος Συστάσεων (Recommendation) που αποσκοπούν στον εντοπισμό και την αντιμετώπιση τρωτών σημείων της κυβερνοασφάλειας. Η R 160 καθορίζει τη διαδικασία για την καθιέρωση αμοιβαίας επωφελούς επικοινωνίας μεταξύ μίας εταιρείας Μέσων και ενός κατασκευαστή-προμηθευτή προϊόντος ή υπηρεσίας, στην οποία έχει εντοπιστεί ευπάθεια. Η R 161 παρέχει καθοδήγηση σχετικά με τη δημιουργία ενός προγράμματος υπεύθυνης γνωστοποίησης ευπάθειας.

Αμφότερα κείμενα αναπτύχθηκαν εντός του EBU's Media Cybersecurity group.

Υπεύθυνη Γνωστοποίηση.

Το responsible vulnerability disclosure programme (RVDP), δηλαδή το πρόγραμμα υπεύθυνης γνωστοποίησης ευπάθειας αποτελεί το μέσο με το οποίο μπορούν να εντοπίζονται τα bugs που έχει μία εταιρεία με τη συνδρομή των ηθικών χάκερς (ethical hackers), γνωστούς και ως "white hats". Το RVDP καθορίζει για ποια είδη ευπάθειας θα παρέχονται εύρετρα, πως αποκαλύπτονται στην εταιρεία και ποιες είναι οι αμοιβές που θα προσφέρονται. Έτσι υποστηρίζεται η διαύγεια σχετικά με τις πολιτικές ασφαλείας μίας εταιρείας.

Είναι τέτοια η δημοτικότητα των RVDP, ονομάζονται και "bugs bounties" (επικηρύξεις των bugs), που προσφέρονται στους ηθικούς χάκερ ώστε ένα ολόκληρο οικοσύστημα μεσιτών έχει αναδυθεί στη βιομηχανία της κυβερνοασφάλειας. Παρ’ όλο που πρόκειται για μία option των δημοσίων οργανισμών υπηρεσιών μέσων, μπορεί ακόμη να εξεταστεί και το ενδεχόμενο ενός εσωτερικού προγράμματος με μη-χρηματική αμοιβή. Γενικότερος στόχος αποτελεί η εξωτερική ανάθεση μέρους των δραστηριοτήτων συνεχούς αξιολόγησης της ευπάθειας μίας εταιρείας.

Στα Μέλη της EBU που διαθέτουν RVDP εν δράσει περιλαμβάνονται οι broadcasters BBC, VRT και NPO. Η Σύσταση EBU R 161 παρέχει συμβουλές για την καθιέρωση ενός RVDP. (Για περισσότερες πληροφορίες σχετικά με την υπεύθυνη γνωστοποίηση διαβάστε τη σελίδα 5 - issue 40 of tech-i magazine)

Διάλογος

Δρώντας συμπληρωματικά, η R 161 αποτελεί άλλο ένα έγγραφο που συνιστά τη διαδικασία που πρέπει να ακολουθηθεί όταν εντοπιστεί μία κρίσιμη ευπάθεια στο προϊόν ή την υπηρεσία ενός συγκεκριμένου κατασκευαστή-προμηθευτή. Η διαδικασία των τεσσάρων βημάτων που καθορίστηκε στη Σύσταση EBU R 160 έχει σχεδιαστεί έτσι ώστε να παρέχει αρκετό χρόνο στους κατασκευαστές-προμηθευτές συστημάτων μέσων προκειμένου να ανταποκριθούν στην αποκάλυψη της ευπάθειας μίας εταιρείας Μέσων.

Στόχος είναι να ενθαρρυνθεί ο εποικοδομητικός διάλογος μεταξύ κατασκευαστών και broadcasters, οδηγώντας σε μία ασφαλέστερη Βιομηχανία των Μέσων. Αναμένεται τα Μέλη της EBU και άλλες εταιρείες Μέσων που ενημερώνουν έναν κατασκευαστή-προμηθευτή για μία κατάσταση ευπάθειας πως θα επισημάνουν ότι προβαίνουν σε αυτή σύμφωνα με τη διαδικασία που καθορίζεται από τη Σύσταση R 160. Αυτό θα προσδώσει σαφήνεια σε όλες τις πλευρές.

Παρατηρήσεις: Δελτίο Τύπου - EBU - Ιούλιος 2019

Στην ίδια κατηγορία