Haavoittuvuuksien hallinta ohjelmistoyrityksessä

Tietoturva Nyt!

Olemme saaneet haavoittuvuusjulkaisujen kolmanteen osaan vieraaksi Pohjoismaisen ohjelmistotalo Visman sovellusturvallisuusarkkitehti Joakim Taurenin. Vismalla on käytössään vastuullisen julkaisun periaate ja Bug Bounty -ohjelma. Näiden avulla haavoittuvuuksien ilmoittaminen on tehty vaivattomaksi ja luottamukselliseksi. Tauren kertoo artikkelissa, kuinka heillä suhtaudutaan haavoittuvuuksiin ja miten niitä koordinoidaan ilmoituksesta korjauspäivitykseen saakka.

Mistä lähteistä haavoittuvuuksia ilmoitetaan?

"Saamme tietoja tuotteissamme olevista haavoittuvuuksista eri lähteistä. Meillä on erillinen ryhmä työntekijöitä, jotka tekevät jatkuvaa penetraatiotestausta yrityksen n. 400:lle tuotteelle. Kaksi Bug Bounty -ohjelmaa tuottavat myös haavoittuvuusilmoituksia. Toinen ohjelmista on julkinen ja toinen yksityinen, jossa tunnetut valkohattuhakkerit etsivät haavoittuvuuksia Visman ohjelmistoista. Bug Bounty -ohjelmat on toteutettu yhteistyössä HackerOnen kanssa. Haavoittuvuusilmoituksista kiitetään löytäjää ja mahdollisista Bug Bountyista maksetaan 100-3000 dollarin korvaus, mikäli haavoittuvuus on täyttänyt tietyt kriteerit", kertoo Tauren.

Responsible disclosure -ohjelman periaatteiden mukaisesti Vismalle voi ilmoittaa haavoittuvuuksista toivottuja kanavia pitkin. Tauren kertoo, että he kannustavat valkohattuhakkereita tekemään haavoista ilmoituksia. Haavoittuvuuksia on välitetty Vismalle myös Kyberturvallisuuskeskuksen ja Open Bug Bountyn kautta. Haavoittuvuuksiin pystytään reagoimaan vuorokauden ympäri, koska yrityksen toiminnot pyörivät 24/7.

Löydetyt haavoittuvuudet Visma tarkistaa kahdessa päivässä ja kriittiset haavat pyritään korjaamaan viidessä päivässä. Haavoittuvuuksia koordinoidaan SOC-tiimin eli tietoturvavalvomon ja tuotteiden omistajien kautta. Pilvisovelluksissa tietoturvapäivitykset tapahtuvat automaattisesti, mutta asiakkaan paikalliset ratkaisut suositellaan aina päivittämään mahdollisimman nopeasti erillisellä ilmoituksella. Moderneimmat tuotteet saatetaan päivittää monta kertaa päivässä. Päivitysten sykli on nykyään entistäkin vauhdikkaampaa - ja trendi on edelleen nopeutuva.

Tietoturva osana prosessia

Visma tekee aktiivisesti yritysostoja, mikä tuo lisää haasteita myös tietoturvaprosesseille. Ostettava yritys tarkistetaan perusteellisesti niin sanotun due diligence -selvityksen myötä. Due diligence -prosessilla tarkoitetaan ostettavalle yritykselle etukäteen tehtävää huolellista tarkastusta. Tarkastukset ja testaukset tehdään myös tietoturvan osalta ja yritys ohjelmistoineen liitetään myöhemmin osaksi Visman normaalia kokonaisuutta. Tietoturvatestaus tässä prosessissa tarkoittaa esimerkiksi koodiskannauksia ja muita teknisiä toimenpiteitä. Yritysostoille on tyypillistä, että kaikki niihin sisältyvät ohjelmistot eivät välttämättä ole suunniteltu ja toteutettu turvallisen ohjelmistokehityksen mukaisesti. Uudet ohjelmistot käydään tarkasti läpi vastatakseen Visman toimintatapaa, jossa tietoturva kulkee mukana ohjelmiston kehityksessä alusta alkaen.

Visman myyntiprosesseissa on käytetty positiivisella tavalla hyödyksi yrityksen panostamista tietoturvaan. Yritys pyrkii olemaan läpinäkyvä epäonnistumisista ja kehityskohteista, ja näin ollen muodostamaan myös luottamusta kertomalla asioista avoimesti. Tauren kertoo, että tietoturvaongelmia tai tapahtumia ei kannata peitellä tai salailla. Mitä nopeammin ja ammattimaisemmin ne hoidetaan ja viestitään - sitä parempi on lopputulos. Mahdollinen hakkerointi voi tapahtua mille tahansa organisaatiolle, joten tilanteen hoitaminen erottaa yritykset toisistaan.

Yhteistyö on tärkeää myös hakkereiden kanssa

Tauren korostaa hyvien lähteiden, esimerkiksi valkohattuhakkereiden, antavan yrityksille aikaa haavojen korjaamiseen asianmukaisella tavalla. Koska haavoittuvuusilmoitus on tullut luotettavilta lähteiltä, ei ole syytä olettaa että sen tiedot vuotaisivat ulos ennen haavoittuvuuden korjaamista ja prosessin loppuun viemistä. Haavoittuvuutta seurataan teknisin toimenpitein sen korjaamiseen asti, jotta mahdolliset haavan hyväksikäyttöyritykset havaittaisiin.


Taurenin kaksi tärkeää nostoa muille organisaatioille:

  • Yritysten kannattaa ottaa vastaan raportteja haavoittuvuuksista
  • Älä peittele sattunutta vahinkoa

"Kohtelemme hakkereita ja ilmoittajia kuin asiakkaita."