- Det er utfordrende å finne riktig kontaktpunkt for å melde fra om sårbarheter hos norske bedrifter og i offentlig sektor. Det krever en del arbeid fra den som har funnet en sårbarhet for å finne riktig e-post eller person, sier Martin Ingesen, grunnlegger og daglig leder i pentester-selskapet Kovert, til kode24.
For å spre kunnskap om hvordan man kan implementere en varslingskanal for sårbarheter, særlig i det offentlige, har Kovert satt opp nettsiden securitytxt.no.
Her vil selskapet synliggjøre hvordan man kan adopterte RFC9116, som er en ny standardisert metode for å informere om hvordan en organisasjon kan kontaktes for å rapportere sårbarheter til dem.
Har funnet en rekke sikkerhetsmangler i norsk kraftbransje: - Et cyberangrep kan få store konsekvenser
Slik gjør du det
Ifølge Ingesen er security.txt bare en tekstfil som blant annet inneholder en del standardisert informasjon som kontaktinfo, krypteringsnøkkel for kommunikasjon og sikkerhetsretningslinjer.
- Ved å implementere et kontaktpunkt for rapportering av sårbarheter legger man til rette for en mer ansvarlig innrapportering av sårbarheter, som gjør det lettere for sikkerhetsforskere å få kontakt med de riktige personene i bedriften, sier Ingesen.
Ifølge ham er den letteste måten å komme i gang å generere filen via securitytxt.org, og publisere denne på nettsiden enten på rot-mappen eller i en mappe ved navn .well-known.
- Måten man gjør dette på varierer basert på webserveren man har, sier Ingesen.
«Hensikten er ikke å "shame" noen, men heller å synliggjøre de som er flinke med å adoptere RFC-en.»
Vil ikke "shame" noen
Nettsiden Kovert har laget, inneholder en liste over norske kommuner. Den viser hvem som har implementert løsningen, og hvem som ikke har gjort det.
På skrivende tidspunkt er det visstnok bare to som har fila; Horten og Ringerike.
- Hensikten er ikke å "shame" noen, men heller å synliggjøre de som er flinke med å adoptere RFC-en, sier Ingesen.
Kovert-grunnleggeren sier at manglende varslingskanaler fører til at sårbarheter ikke blir rapportert eller at de blir rapportert i feil kanaler og ikke når fram til riktig mottaker i organisasjonen.
- I ytterste tilfelle kan det være at sikkerhetsforskeren som har funnet en feil ikke gidder å lete lenger, og heller bare publiserer sårbarheten offentlig på internett, og på den måten presser organisasjonen til å rette feilen, sier Ingesen.
Fant alvorlige mangler i Forsvarets systemer: - Kan få store konsekvenser
Ta rapporterte sårbarheter på alvor
Ingesen anbefaler på generelt grunnlag å ta innrapporterte sårbarheter på alvor, og anerkjenne de som rapporterer legitime sårbarheter.
- Security.txt tilrettelegger for dette med en valgfri lenke til en "Hall of Fame"-side, hvor man kan offentliggjøre personer som har bidratt til å gjøre bedriften sikrere via ansvarlig innrapportering av sårbarheter.
Som et tegn på takknemlighet, anbefaler han å sende en liten påskjønnelse til dem som rapporterer legitime sårbarheter.
- Det trenger ikke være mye mer enn en kopp, t-skjorte, gavekort eller liknende. Det er tanken som teller, sier Ingesen.