Kyberturvallisuuskeskus CVE-tunnisteita jakavaksi CNA-toimijaksi

Haavoittuvuus tarkoittaa mitä tahansa heikkoutta, joka mahdollistaa vahingon toteutumisen tai jota voidaan hyväksikäyttää vahingon aiheuttamiseksi. Haavoittuvuuksia voi olla esimerkiksi tietojärjestelmissä, sovelluksissa, laitteissa, prosesseissa, kotiautomaatiossa tai niitä voi aiheutua ihmisten toiminnan seurauksena. Voit lukea lisää Kyberturvallisuuskeskuksen sivuilta (Ulkoinen linkki).

Maailmanlaajuisen CVE-ohjelman tarkoituksena on tunnistaa, määrittää ja luetteloida julkaistuja ohjelmistohaavoittuvuuksia. CVE:n toiminta perustuu kansainväliseen yhteistyöhön. Löydetyt haavoittuvuudet määritellään ja julkaistaan koordinoidusti internetissä. Tietoturva-ammattilaiset käyttävät CVE-tunnisteita ohjelmistohaavoittuvuuksien yksilöimiseksi. Tunnisteen lisäksi eri haavoittuvuudet sisältävät informaatiota esimerkiksi niiden yksityiskohdista ja kriittisyydestä. Kriittinen haavoittuvuus voi olla esimerkiksi ohjelmistovirhe, joka mahdollistaa hyväksikäytön etäyhteydellä verkon yli (Remote Code Excecution, RCE). Tällöin haavoittuva laite tai ohjelmisto on syytä paikata välittömästi haavoittuvuuden ja korjauksen tultua julkiseksi. Esimerkiksi vuonna 2021 kriittinen Microsoft Exchange -sähköpostipalvelinhaavoittuvuus (Ulkoinen linkki) johti Suomessa yli 70:n organisaation sähköpostipalvelimen tietomurtoon.

CNA-toimijat ovat organisaatioita, jotka myöntävät CVE-tunnisteita löydetyille haavoittuvuuksille. Kyberturvallisuuskeskuksen roolina on myöntää kotimaisten organisaatioiden tuotteiden haavoittuvuuksille CVE-tunnisteita. "Kansainvälinen haavoittuvuustyö on pitkälti talkootyötä. Siksi onkin tärkeää, että haavoittuvuustyön tekijät osallistuvat ajantasaisen ja laadukkaan haavoittuvuustiedon tuottamiseen ja ylläpitämiseen omalta osaltaan", toteaa Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen. Voit lukea MITRE:n tiedotteen täältä (Ulkoinen linkki). MITRE on Kyberturvallisuuskeskuksen, eli NCSC-FI:n juuritoimija (root).

CVE-tunnisteita listataan esimerkiksi CVE List -sivulla (Ulkoinen linkki). Jokainen lisätty CVE-tunniste on määritelty ja vahvistettu CNA-toimijan toimesta. CVE List -materiaalia syötetään suoraan myös U.S. National Vulnerability Databaseen eli NVD:hen (Ulkoinen linkki). Nopea ja laaja-alainen tiedonvaihto on avainasemassa havaittujen haavoittuvuuksien korjaamisessa. Yhteistyön tavoitteena on paikata tietoturva-aukkoja mahdollisimman nopeasti, ennen kuin rikolliset pääsevät hyväksikäyttämään niitä.

"Kyberturvallisuuskeskus on tehnyt jo pitkään haavoittuvuuskoordinaatiota. Me vastaanotamme viikoittain ilmoituksia haavoittuvuuksista ja analyysin jälkeen kontaktoimme mahdollisesti haavoittuvan tuotteen valmistajan. CNA-toimijaksi ryhtyminen on hieno lisä aiempaan toimintaamme ja vahvistaa Kyberturvallisuuskeskuksen asemaa kansainvälisenä tietoturvatoimijana", kertoo tietoturva-asiantuntija Matias Mesiä. Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatiosta voit lukea lisää täältä (Ulkoinen linkki). Lisätietoja CNA-toimijaksi ryhtymisestä ja vaatimuksista löydät täältä (Ulkoinen linkki).

Kyberturvallisuuskeskuksen haavoittuvuusartikkeleissa  eri haavoittuvuudet on eritelty CVE-tunnisteen avulla. Tällöin esimerkiksi useista julkaisuista haavoittuvuuksista kriittisin on esitelty ja se kehoitetaan paikkaamaan välittömästi. Usein ohjelmistovalmistajat julkaisevat haavoittuvuuteen korjauksen, mutta joskus korjausta odotellessa voidaan tehdä muita teknisiä toimia haavoittuvuuden paikkaamiseksi.