Haavoittuvuudet - miten niistä ilmoitetaan oikein
Tietoturva Nyt!
Haavoittuvuusjulkaisujen toisessa osassa pyrimme vastaamaan meiltä usein kysyttyihin kysymyksiin. Oletko pohtinut, minne löytämästäsi haavoittuvuudesta voi ilmoittaa? Haluatko tehdä ilmoituksen, mutta et löydä ohjeita? Olet kuullut, että haavoittuvuuksien ilmoittamisesta maksetaan, mutta et tiedä, miten prosessi toimii? Me kerromme, miten kannattaa toimia.
Mitä ovat haavoittuvuudet?
Haavoittuvuus tarkoittaa mitä tahansa heikkoutta, joka mahdollistaa vahingon toteutumisen tai jota voidaan käyttää vahingon aiheuttamiseksi. Haavoittuvuuksia voi olla esimerkiksi tietojärjestelmissä, sovelluksissa, laitteissa, prosesseissa, kotiautomaatiossa tai niitä voi aiheutua ihmisten toiminnan seurauksena.
Haavoittuvuuksia julkaisevat niin laitevalmistajat, kansalaiset kuin sovelluskehittäjätkin. Ihannetilanteessa haavoittuvuudet tuodaan julkisuuteen, kun niihin on saatavilla jokin lievennyskeino (eng. "mitigation") tai korjaus (eng. "patch").
Kaikessa teknologiassa on haavoittuvuuksia ja syitä tähän on useita. Haavoittuvuus voi johtua esimerkiksi siitä, että käytössä on päivittämätöntä ja vanhaa tekniikkaa tai vähemmän kriittisiksi arvioituja heikkouksia on yhdistelty
Miten haavoittuvuuksista ilmoitetaan?
On olemassa prosesseja ja käytäntöjä, joiden avulla haavoittuvuuksia voi tuoda eri tahojen tietoon. Yleisesti hyvänä periaatteena pidetään, ettei heikkouksia käytetä hyväksi tarpeettomasti ongelman todentamiseksi. Tietojen lataaminen, tutkiminen tai levittäminen voi täyttää rikoksen tunnusmerkit.
Päivityksistä ja niihin liittyvien prosessien toiminnasta tulee pitää huolta. Pahimmillaan liiketoiminta voi lamaantua tai lakata kokonaan, jos haavoittuvuutta aletaan käyttää hyväksi.
Haavoittuvuuksia on erilaisia ja eritasoisia, niitä arvotetaan niiden hyväksikäyttömenetelmien ja useiden muiden tekijöiden mukaan esimerkiksi vakaviksi tai kriittisiksi. Kerromme toisessa artikkelissa (Ulkoinen linkki) tarkemmin haavoittuvuuksista, niiden luokittelusta ja siitä, miksi jotkut haavoittuvuudet ovat kriittisempiä kuin toiset.
Oikeat ilmoitusprosessit riippuvat tahosta, jonne ilmoitusta ollaan tekemässä. Käymme seuraavaksi joitakin vaihtoehtoja läpi.
Millaisia ilmoitusprosesseja on?
Haavoittuvuuksien korjaaminen
Ilmoittamisen jälkeen korjaamista tai yhteydenottoa voi joutua odottamaan, vaikka organisaatio suhtautuisi ilmoitukseen hyvin. Korjaamisessa saattaa mennä aikaa ja organisaatiolla voi olla omat aikataulunsa korjausten toimeenpanolle. Ole kärsivällinen ja anna yritykselle aikaa tutkia, todentaa ja selvittää haavoittuvuuden vaikutukset sekä ottaa mahdollisesti yhteyttä asiakkaisiin.
Ihannetilanteessa haavoittuvuudesta ilmoittaminen on positiivinen kokemus ja hyvä vuorovaikutustilanne kaikille osapuolille. Positiivinen kokemus auttaa uusien ilmoitusten kanssa ja luo hyvän mielikuvan yhteistyöstä.
Isoilla toimijoilla, teknologiayrityksillä ja kansainvälisillä yrityksillä on monesti prosessit ja käytännöt haavoittuvuuksien hoitamiseen. Pienillä ja keskisuurilla yrityksillä ei välttämättä ole yhtä kattavat prosessit haavoittuvuuksien hoitamiseen ja ennaltaehkäisyyn. Haavoittuvuuksien ymmärtäminen saattaa aiheuttaa tietoturva-asiantuntijoillekin päänvaivaa, joten apua kannattaa tarpeen mukaan hakea, pyytää tai ostaa.
Miten haavoittuvuuksilta voi suojautua?
Tietoturvaa täytyy aina arvioida toimintaympäristön kontekstissa. Tämän arviointityön tueksi olemme julkaisseet erilaisia oppaita (Ulkoinen linkki) yrityksille. Lisäksi kokosimme tämän artikkelin lopuksi näistä oppaista muutamia, joista voi olla hyötyä.
Tarkennettu ja korjattu aiemmin virheellinen lause security.txt-kohtaan "Keväällä 2022 on julkaistu tekninen määritelmä IETF:n RFC-julkaisusarjan Informational-kategoriassa, joka määrittelee tavat security.txt:n luomiseen:"