Informationssäkerhet Nu!
Cybersäkerhetscentret har godkänts som CNA-aktör (CVE Numbering Authority) som delar ut CVE-koder (Common Vulnerabilities and Exposures) för sårbarheter.
Sårbarhet innebär vilken som helst svaghet som möjliggör att en skada realiseras eller som kan utnyttjas för att orsaka en skada. Sårbarheter kan förekomma i till exempel informationssystem, applikationer, apparater, processer och hemautomatik, eller kan orsakas till följd av människors verksamhet. Du kan läsa mer på Cybersäkerhetscentrets webbplats (Extern länk).
Det globala CVE-programmet syftar till att identifiera, definiera och katalogisera publicerade programvarusårbarheter. CVE:s verksamhet baserar sig på internationellt samarbete. De sårbarheter som hittats definieras och publiceras på ett koordinerat sätt på internet. Sakkunniga inom informationssäkerhet använder CVE-koder för att specificera programvarusårbarheterna. Utöver koden innehåller de olika sårbarheterna information om till exempel detaljerna i dem och hur kritiska de är. En kritisk sårbarhet kan till exempel vara ett programvarufel som möjliggör utnyttjande med fjärråtkomst över nätverket (Remote Code Excecution, RCE). I sådana fall är det skäl att åtgärda den sårbara enheten eller programvaran omedelbart efter att sårbarheten och korrigeringen har blivit offentliga. År 2021 ledde till exempel en kritisk sårbarhet i Microsoft Exchanges e-postserver till dataintrång i över 70 organisationers e-postservrar i Finland.
CNA-aktörer är organisationer som beviljar CVE-koder för upptäckta sårbarheter. Cybersäkerhetscentrets roll är att bevilja CVE-koder för sårbarheter i inhemska organisationers produkter. ”Internationellt sårbarhetsarbete är i stor utsträckning talkoarbete. Därför är det viktigt att de som utför sårbarhetsarbetet själva deltar i produktionen och upprätthållandet av aktuell och högklassig sårbarhetsinformation”, konstaterar Juhani Eronen, ledande sakkunnig vid Cybersäkerhetscentret. Du kan läsa MITRE:s pressmeddelande här (Extern länk). MITRE är Cybersäkerhetscentrets, det vill säga NCSC-FI:s rotaktör (root).
CVE-koderna listas till exempel på webbplatsen CVE List. Varje CVE-kod som lagts till har definierats och bekräftats av en CNA-aktör. Materialet i CVE List matas också direkt in i databasen U.S. National Vulnerability Database, det vill säga NVD. Ett snabbt och omfattande informationsutbyte är i nyckelställning när det gäller att åtgärda upptäckta sårbarheter. Syftet med samarbetet är att så snabbt som möjligt åtgärda luckorna i informationssäkerheten innan brottslingarna kan utnyttja dem.
”Cybersäkerhetscentret har redan länge arbetat med sårbarhetskoordination. Vi får veckovis anmälningar om sårbarheter och efter analysen kontaktar vi tillverkaren av en potentiellt sårbar produkt. Att bli CNA-aktör är ett fint tillägg till vår tidigare verksamhet och stärker Cybersäkerhetscentrets ställning som en internationell informationssäkerhetsaktör”, säger Matias Mesiä, informationssäkerhetsexpert. Du kan läsa mer om Cybersäkerhetscentrets sårbarhetskoordination här (Extern länk). Mer information om att bli CNA-aktör och kraven hittar du här (Extern länk).
I Cybersäkerhetscentrets sårbarhetsartiklar har olika sårbarheter specificerats med hjälp av CVE-koder. I artiklarna har till exempel den mest kritiska av sårbarheterna i flera publiceringar presenterats och man uppmanar att den åtgärdas omedelbart. Ofta publicerar programvarutillverkare en korrigering av sårbarheten, men ibland kan man i väntan på korrigeringen vidta andra tekniska åtgärder för att korrigera sårbarheten.