Saastunut ohjelmistokomponentti

Ohjelmistokehittäjä on ottanut vahingossa käyttöön haittaohjelmalla saastuneen ohjelmistokomponentin. Ohjelmistokomponentti on osa organisaation tuotetta. Haittakoodia ei ole havaittu organisaation omissa prosesseissa. Tuote on julkistettu, ja siinä oleva haittakoodi mahdollistaa luvattoman pääsyn tuotetta käyttävien asiakkaiden järjestelmiin. Haitallinen koodi on ollut ohjelmistossa useamman kuukauden, ja se on jaeltu useille asiakkaille. Asiakasyritys havaitsi haittakoodin tietoturvaohjelmiston päivityksen jälkeen, ja raportoi siitä heti organisaatiolle.

Soveltaminen

Skenaariossa käsitellään tuotantoketjun laadun ja turvallisuuden varmistamista. Skenaarion keskeinen piirre on tuotteen valmistajan vastuu asiakkaille toimitettujen tuotteiden päivittämisestä turvallisiksi.

Lisähaaste

Asiakas ei ilmoita suoraan organisaatiolle haittakoodista, vaan puhuu asiasta ensin julkisuudessa. Tuotteen päivittäminen verkon yli on vaikeaa tai mahdotonta. Ohjelmistokomponenttiin ei ole saatavilla korjaavaa päivitystä, koska sitä ei enää ylläpidetä.