Haavoittuvuuksien ilmoittamista helpottavaa käytäntöä ei vielä täysin hyödynnetä Suomessa
Tietoturva Nyt!
Miten saan tiedon, kun joku löytää haavoittuvuuden organisaationi verkkopalvelusta? Entä kuinka tiedän, kenelle ja miten ilmoitan löytämästäni haavoittuvuudesta? Kuinka organisaationi voi sopia haavoittuvuuden löytäjän kanssa yhteisistä pelisäännöistä, kun emme edes tunne toisiamme? Avuksi on ehdotettu käytäntöä, jossa yhteystiedot ja pelisäännöt julkaistaisiin aina samassa paikassa. Kyberturvallisuuskeskukselle tehdyssä opinnäytetyössä tutkittiin kyseistä käytäntöä. Artikkelissa on myös tutkimuksen tulosten valossa laadittuja neuvoja käyttöönottoon.
Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio (Ulkoinen linkki) tarjoaa apua haavoittuvuuksien löytäjien ja ohjelmistovalmistajien väliseen yhteistyöhön varmistaen, että mahdollisimman monet merkittävät haavoittuvuudet korjataan ja korjaukset otetaan käyttöön. Kyberturvallisuuskeskus on viranomainen, joka edistää haavoittuvuustietojen luottamuksellista, vastuullista ja nopeaa käsittelyä, ja jonka puoleen on helppo kääntyä.
Organisaatiot voivat myös edistää yhteystietojensa ja käytäntöjensä löytymistä julkaisemalla ne aina samassa paikassa ja muodossa. Tästä on hyötyä erityisesti tilanteessa, jossa suomalaisesta palvelusta haavoittuvuuden löytänyt tietoturvatutkija on kotoisin toisesta maasta. Tutkittu käytäntö on tekninen määritelmä, joka esittää tiedoille yhtenäistä, koneluettavaa sijaintia verkkopalvelimilla.
Tutkimus osoittaa, että käytäntö on aiempien tutkimusten tulosten tavoin myös Suomessa vielä harvinainen, sillä vain 2,2 promillea tutkimuksen kohteena olleista suomalaisten organisaatioiden hallinnassa olevista fi-verkkotunnuksista (n=367942) oli julkaissut tiedoston helmikuussa 2023. Muutama toimija on julkaissut tiedostoja useissa (esimerkiksi asiakkaidensa) verkkotunnuksissa; kymmenen suurinta toimijaa on julkaissut tiedoston 85 prosentissa sen julkaisseista verkkotunnuksista.
Tutkimuksessa havaittiin, että tiedostojen sisällöissä oli suurta vaihtelevuutta, mikä heikentää niiden koneluettavuutta. Usein puutteet selittyvät sillä, että RFC 9116:n varhaisten luonnosten perusteella laadittuja tiedostoja tai ohjeita ei ole päivitetty. Tiedostoja käytetään useammin yhteystietojen kuin tietoturvakäytäntöjen julkaisemiseen.
Tulosten valossa on paitsi mahdollista tunnistaa ja välttää tyypillisiä puutteita tiedoston muodossa myös ohjata käytäntöä suuntaan, jossa siitä on mahdollisimman paljon apua. Parhaiten käytäntö palvelee silloin, kun sen avulla haavoittuvuuksista ja muista tietoturvaongelmista ilmoitetaan ripeästi, tarkoituksenmukaisesti ja turvallisesti siten, että viestinnän luottamuksellisuus säilyy.
Neuvoja security.txt-tiedoston julkaisemiseen
RFC 9116 (Ulkoinen linkki) esittää, että tarvittavat tiedot löytyisivät koneluettavassa muodossa verkkopalvelimilta polusta /.well-known/security.txt tekstitiedostosta, jonka kullakin rivillä olisi yksi kenttä, kuten https:-osoite tietoturvakäytäntöihin. Esimerkkinä voi käyttää Kyberturvallisuuskeskuksen julkaisemaa tiedostoa (Ulkoinen linkki). Tekninen määritelmä on julkaistu IETF (Ulkoinen linkki):n RFC-julkaisusarjan Informational-kategoriassa, joten kyseessä ei ole Internetin standardi, mutta ehdotus on silti varteenotettava ratkaisu todelliseen ongelmaan.
Lisätietoja
Ota yhteyttä
Esa Jokinen, tietoturva-asiantuntija, Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus, etunimi.sukunimi@traficom.fi