The state of cybersecurity vulnerability reporting in Iceland

Abstract

Rannsóknir sýna að kunnátta á tilkynningargáttum og notkun þeirra er lág. Einnig eru skarpskyggnisprófanir ekki framkvæmdar reglulega. Án kunnáttu um hvað tilkynningargáttir eru, eru háar líkur á því að ekki sé til staðar góð tilkynningarleið veikleika. Skarpskyggnisprófun er prófunaraðferð notuð til að auka öryggi kerfa sem að er tiltölulega ódýr og er talin vera lágmarkskrafa þegar öryggi kerfa er skoðað. Með því að framkvæma tvær skoðanakannanir ásamt viðtölum við íslensk fyrirtæki var þessi þekkingarskortur skoðaður. Niðurstöðurnar sýna að notkun tilkynningargátta er lág á Íslandi og að það sé að mestu leiti vegna skorts á fjármagni eða þekkingu. Skarpskyggnisprófanir eru þó notaðar tiltölulega mikið þó hægt sé að bæta þá notkun frekar. Svo best sem vitað er þá er þetta fyrsta rannsókn á Íslandi sem að skoðar sérstaklega tilkynningargáttir og viðhorf til þeirra. Niðurstöðurnar er hægt að nota sem inntak til sköpunar á tilkynningargátt fyrir íslensk fyrirtæki. Það myndi auka meðvitund á tilkynningargáttum og búa til örugga og þekkta tilkynningarleið fyrir Ísland.

Research and experts highlight that the level of use and knowledge of Vulnerability reporting programs (VRPs) is low and penetration testing is not done regularly. Without having knowledge of what a VRP is, a lack of a proper disclosure channel is likely. Penetration testing is a method used for securing a system, is relatively cheap, and is considered a minimum requirement for securing a system. Through two studies with questionnaires and interviews conducted with Icelandic companies, the state of this lack of use and knowledge was explored. The results show that usage of VRP is low in Icelandic companies and it is mostly due to resource limitations and lack of knowledge. Penetration testing is though relatively widely used, but can be improved. Assumingly, this is the first study which explicitly explores VRPs and attitudes in Iceland. The obtained results can be used as input for creating a VRP platform for Icelandic companies. This would raise awareness and create a safe and known disclosure channel for Iceland.