Podatność
Słabość w produkcie z elementami cyfrowymi, która może zostać wykorzystana przez podmiot stwarzający zagrożenie w celu naruszenia bezpieczeństwa tego produktu lub połączonych z nim systemów. CRA nakłada na producentów obszerne obowiązki w zakresie identyfikowania, usuwania i ujawniania podatności przez cały okres wsparcia.
Cytowania źródeł
Zobacz też
Podstawa prawna
Artykuł 3(36) Rozporządzenia (UE) 2024/2847 definiuje podatność jako:
«słabość, podatność lub wadę produktów z elementami cyfrowymi lub procesów stosowanych do opracowywania i utrzymywania takich produktów, które mogą być wykorzystane przez cyberzagrożenia».
Obowiązki w zakresie podatności wynikające z CRA
W trakcie okresu wsparcia (Art. 13 i Załącznik I Część II)
- Identyfikuj podatności proaktywnie poprzez testy bezpieczeństwa
- Oceniaj ich powagę (CVSS lub równoważny)
- Usuwaj podatności i wdrażaj aktualizacje zabezpieczeń
- Zgłaszaj aktywnie eksploatowane podatności do ENISA
- Ujawniaj podatności zgodnie z polityką CVD
Rodzaje podatności
| Typ | Opis |
|---|---|
| Własna podatność | Podatność w kodzie własnym producenta |
| Podatność zależności | Podatność w zewnętrznej bibliotece lub komponencie |
| Aktywnie eksploatowana | Podatność aktywnie wykorzystywana przez atakujących (wymaga dodatkowego zgłoszenia) |
Podatności a incydenty
Podatność to utajona słabość; incydent to rzeczywiste naruszenie lub zakłócenie, które może obejmować eksploatację podatności.