La UE flaquea en políticas de divulgación coordinada de vulnerabilidades

  • Vulnerabilidades

Un reciente informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) revela que existe una gran disparidad entre los niveles de cumplimiento de las políticas coordinadas de divulgación de vulnerabilidades entre los Estados miembros. El organismo se dispone a ayudar a los países en su implementación y a desarrollar y mantener una base de datos de vulnerabilidad de la UE (EUVDB).

La ENISA ha publicado recientemente un mapa de las políticas nacionales de la UE de divulgación coordinada de vulnerabiidades y de sus conclusiones se desprende que existe un gran margen de mejora en este ámbito que es fundamental para fortalecer la resiliencia europea en ciberseguridad,

Para la agencia es fundamental el trabajo de los investigadores de seguridad y los hackers éticos para identificar las vulnerabilidades si queremos que estas no sean explotadas por los atacantes. Una vez detectadas, también es fundamental divulgarlas. La divulgación coordinada de vulnerabilidades (CVD) es un proceso mediante el cual los buscadores de vulnerabilidades trabajan juntos y comparten información con otros agentes clave, como proveedores y propietarios de infraestructuras de TIC.

A través de estos programas, las vulnerabilidades del software se divulguen al público una vez que el proveedor haya podido desarrollar una corrección, un parche o haya encontrado una solución.

Para que el sistema funcione, la ENISA considera que las políticas nacionales de CVD dentro de la Unión deben estar coordinadas para que los investigadores sepan a quién contactar para revelar una vulnerabilidad, que los proveedores puedan desarrollar una solución o un parche de manera oportuna, y que los investigadores obtengan un reconocimiento por su trabajo y estén protegidos contra el enjuiciamiento.

Y es aquí dónde está el fallo. En el momento en el que se recabaron los datos en 19 de los países comunitarios, solo cuatro habían aplicado un política de CVD de este tipo, mientras que otros cuatro estaban a punto de hacerlo. Los restantes se dividen en dos grupos: los que actualmente debaten cómo avanzar y los que aún no han llegado a esa etapa.

La ENISA recomienda modificaciones en las leyes penales y la Directiva sobre ciberdelitos para ofrecer protección legal a los investigadores que descubre vulnerabilidades, la definición de criterios específicos para distinguir claramente entre actividades de hackers éticos y actores que realizan actividades ilícitas antes de establecer cualquier protección legal para los investigadores de seguridad, y desarrollar sistemas de incentivos para los investigadores.

El organismo prevé que más países implementen estas políticas a raíz de la Directiva de Seguridad de las Redes y la Información o propuesta NIS2 prevé que los países de la UE implementen una política nacional de CVD, y les dará soporte. Además, deberá desarrollar y mantener una base de datos de vulnerabilidad de la UE (EUVDB). El trabajo complementará las bases de datos internacionales de vulnerabilidad ya existentes.