Nota: Informe de una sola fuente; pendiente de corroboración.
El Departamento de Energía (DOE) ha publicado una Política de Divulgación de Vulnerabilidades como parte de la Orden 205.1D del DOE. Esta política define un proceso estructurado que permite a los miembros del público que actúan de buena fe, denominados Informantes, enviar información sobre posibles vulnerabilidades de seguridad asociadas con los sitios web, sistemas o servicios digitales del DOE que son accesibles públicamente a través de Internet.
El Programa de Divulgación de Vulnerabilidades tiene como objetivo mejorar la ciberseguridad del Departamento de Energía (DOE) mediante la formalización de procedimientos para la recepción, evaluación y corrección de las vulnerabilidades identificadas. Asimismo, promueve la transparencia y la comunicación entre el DOE y terceros, estableciendo requisitos mínimos para los departamentos, las oficinas de programas y los sitios asociados.
Según la política, el alcance del programa lo determina la Oficina del Director de Información (OCIO) de conformidad con las leyes y directivas pertinentes. La OCIO colabora con los Jefes de las Unidades Departamentales para identificar qué sistemas y servicios están bajo su responsabilidad y se incluyen en el programa. Inicialmente, el Departamento de Energía (DOE) ha identificado al menos un sitio web, sistema o servicio digital de acceso público como incluido en el alcance del programa.
Esta política respalda los mandatos federales de ciberseguridad, incluido el Memorando 20-32 de la Oficina de Administración y Presupuesto y la Directiva Operativa Vinculante 20-01 de la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, los cuales exigen que las agencias desarrollen y publiquen políticas de divulgación de vulnerabilidades.