E安全 - 最新發布：歐盟協調漏洞披露政策－鑽石舞台

2022年4月，歐盟網絡安全局（ENISA）發布了一份報告，分析並概述了歐盟國家層面的協調漏洞披露（CVD）政策，此外，報告還介紹了關鍵的發現及未來改進的建議。

歐盟網絡安全局（ENISA）是歐盟的一個機構，致力於在整個歐洲實現高水平的網絡安全。ENISA成立於2004年，並通過《歐盟網絡安全法》得到加強，為歐盟網絡政策做出貢獻，通過網絡安全認證計劃提高信通技術產品、服務和流程的可信度，與成員國和歐盟機構合作，並幫助歐洲為未來的網絡挑戰做好準備。通過知識共享、能力建設和提高認識，該機構與其主要利益相關方合作，加強對互聯經濟的信任，提高歐盟基礎設施的彈性，並最終確保歐洲社會和公民的數字安全。

正如最近的Apache Log4j漏洞所示，一個軟件缺陷就可能使全球數以億計的設備面臨風險，使組織難以在漏洞變成安全事故之前修補受影響的系統。這是全球重新展開討論的又一個漏洞，表明了安全研究、利益相關方之間的溝通、補丁和良好安全實踐的重要性。

國家協調漏洞披露（CVD）政策是一個框架，在此框架下，允許並鼓勵安全研究人員按照一套規則研究ICT產品和服務，並向國家當局或產品供應商報告他們發現的任何漏洞。國家CVD政策有助於提高一個國家的整體網絡安全水平；它增加了透明度，這有助於建立對該國使用的信通技術服務和產品的信任。此外，它為補丁開發提供了寶貴的時間和利益相關者之間的合作，這可能會縮短開發時間。

在國家層面，研究表明，雖然在一個分散的歐盟環境中發展，但多個歐盟成員國在制定國家CVD政策方面取得了進展。目前，只有比利時、法國、立陶宛和荷蘭正在開展CVD政策工作並實施了政策要求。這四個國家的政策舉措大相徑庭。與此同時，另外四個成員國也即將實施相關政策。在這些情況下，該提案要么正在被決策者審查，要么正在試點項目中接受測試。另有10個歐盟成員國正在考慮實施或即將實施國家CVD政策。然而，各國未能在政治或立法層面達成共識阻礙了這一進程。另外9個成員國尚未實施CVD政策，制定政策的進程也尚未開始。

歐盟的差異性可以用各國政府在考慮CVD措施時面臨的各種挑戰來解釋。這些挑戰包括法律、經濟和政治方面，本報告將做進一步討論。此外，CVD實踐、術語、對CVD的理解和評估缺乏一致性也是CVD政策實施及成員國之間合作的障礙。

報告中還描述了中國、日本和美國實施的CVD政策舉措。這些非歐盟參與者介紹了創建和調整CVD政策以及維護和處理登記冊的各種方法。除了介紹歐盟的實踐之外，相關概念也得到了進一步的詳細闡述，並由專家提供了意見。

此外，成員國對所面臨的挑戰進行了討論，這些挑戰是根據其法律、經濟或政治性質確定和分類的，包括：

·研究人員面臨的法律風險；

·脆弱性研究的經濟激勵有限；

·與政府角色和研究人員「安全港」相關的政治挑戰。

針對19個歐盟成員國的分析得出的主要建議包括：

·修訂相關法律，為參與發現漏洞的安全研究人員提供法律保護；

·在為安全研究人員建立法律保護之前，明確區分「道德黑客」和「黑帽」活動的具體標準；

·通過國家或歐洲漏洞賞金計劃，或促進開展網絡安全培訓，為安全研究人員制定積極參與 CVD研究的激勵措施。

除上述內容外，報告還針對經濟和政治挑戰、運營和危機管理活動提出了建議。

歐盟委員會關於修訂網絡和信息安全法律的指令及NIS2提案，規定歐盟國家需實施CVD政策。歐盟網絡安全局（ENISA）支持歐盟成員國實施該規定，並將制定指導方針以幫助歐盟成員國制定CVD政策。