Cybersäkerhetscentrets sårbarhetskoordination i ett nötskal

Sårbarhetskoordinationen syftar till att hjälpa den som hittar en sårbarhet eller ett allvarligt programmeringsfel att bättre samarbeta med programvarutillverkare och systemintegratörer. Vi tar emot anmälningar om sårbarheter till exempel i olika program och på webbplatser. Målet är att informationen om sårbarheten och en korrekt korrigering av den ska nå de aktörer som behöver den, även produktens slutanvändare.

Fynden ska hanteras på ett ansvarsfullt sätt, eftersom de kan ha långtgående skadliga verkningar för människors integritet, egendom, organisationers affärsverksamhet och till och med den nationella säkerheten. Som sårbarhetskoordinator främjar vi ansvarsfull hantering av information om sårbarheter i alla skeden av deras livscykel. För att sprida information om allvarliga sårbarheter med omfattande effekter skriver vi sårbarhetsartiklar (Extern länk).

Vi får kännedom om sårbarheter även i förtid, redan innan de offentliggörs. I sådana fall kartlägger vi den allmänna lägesbilden i Finland beträffande sårbarheten. Vi delar information om sårbarheter på basis av klassificeringar (Extern länk).

Följande exempel är allmänna beskrivningar av anmälningar som vi tar emot. Anmäl sårbarheter till oss med blanketten på denna sida (Extern länk). Du kan även prenumerera på vårt dagliga nyhetsbrev och vår sammanställning över sårbarheter (Extern länk).

Exempel 1: En forskare har upptäckt en sårbarhet i databasen för en webbtjänst

Sårbarheten gör det möjligt att genom en enkel förfrågan stjäla användaruppgifter från en offentlig tjänst, om angriparen känner till eller kan hacka ett par bestående av användarnamn och lösenord. Läget är kritiskt, eftersom vem som helst kan upptäcka sårbarheten med hjälp av olika skannrar och försöka hämta uppgifter ur databasen.

Forskaren vill dock inte själv anmäla sårbarheten till serviceproducenten, utan anmäler saken till Cybersäkerhetscentret med hjälp av blanketten på webbplatsen.

Cybersäkerhetscentret konstaterar att sårbarheten är kritisk och informerar omedelbart organisationen om den. I brådskande situationer kan även ett samtal till den som ansvarar för informationssäkerheten förbättra förståelsen av hur allvarlig sårbarheten är och öka reaktionshastigheten i organisationen.

Vid sådana här sårbarheter betonar vi vikten av konfidentialitet. Det är av största vikt att den aktör som hittat sårbarheten inte berättar för någon annan än myndigheterna eller organisationen som sårbarheten berör om sin observation.

Exempel 2: En organisation meddelar att den behöver hjälp med samordning

Ett företag har själv upptäckt eller har fått information från en utomstående aktör om en sårbarhet i en av företagets produkter. Det är första gången som organisationen råkar ut för någonting liknande och ber Cybersäkerhetscentrets sårbarhetskoordination om hjälp.

Först går man igenom situationen samt diskuterar hurdan sårbarhet det är fråga om och funderar på möjliga verkningar. Hurdana tjänster påverkas av sårbarheten? Har fallet samhälleliga konsekvenser? Är det redan i detta skede nödvändigt att ansöka om en unik identifierare för sårbarheten, det vill säga en CVE-kod (Common Vulnerabilities and Exposures)? CVE-koder beviljas av den icke vinstdrivande organisationen MITRE. Även i Cybersäkerhetscentrets sårbarhetsmeddelanden kan du hitta CVE-koder som företag har uppgett i samband med sina sårbarheter. De hjälper till att identifiera sårbarheter och ger CVSS-poäng, som används för att beskriva hur betydande en sårbarhet är. Du kan prova att beräkna sårbarhetspoäng på till exempel den amerikanska organisationen NIST:s webbplats (Extern länk).

Att kommunicera om en sårbarhet är en viktig del av samordningen av den. Hur ska företaget offentliggöra sårbarheten? Är det möjligt att ta reda på i hur stor utsträckning den sårbara produkten används? Finns det en eventuell kontaktlista för kunderna eller sker informeringen till exempel via webbplatsen eller sociala medier? Även här kan Cybersäkerhetscentret hjälpa till i enlighet med ämbetsverkets normala förfaringssätt genom att till exempel informera på sin webbplats, på sina sociala medier och i internationella nätverk samt skicka information om sårbarheten till intressenter eller en viss sektor.

Det är värt att informera användarna om sårbarheten så fort som möjligt och berätta öppet om situationen. Om ni har behov av att diskutera ett ärende konfidentiellt – kontakta Cybersäkerhetscentret!

Exempel 3: En forskare anmäler en sårbarhet i nätverksutrustning

Forskaren har skaffat en ny WLAN-router. På basis av genomförda tester har hen hittat många sårbarheter i routern som borde anmälas till tillverkaren. Forskaren vill dock inte själv anmäla sina observationer till tillverkaren, utan anmäler saken till Cybersäkerhetscentret. På så vis sker samordningen av sårbarheten via myndigheten, som i egenskap av opartisk kontaktlänk sköter diskussionen med anmälaren och tillverkaren. Sårbarheter i nätverksutrustning kan i stor utsträckning beröra även användarna, och därför bör informationen om den upptäckta sårbarheten stanna mellan endast den som hittade den, myndigheten och tillverkaren.

Cybersäkerhetscentret undersöker den anmälda sårbarheten och informerar därefter tillverkaren om den. Det kan ibland också vara överraskande besvärligt att anmäla en sårbarhet: Det rekommenderas att uppgifter om sårbarheten skickas till företaget på ett så säkert sätt som möjligt och ibland är det tidskrävande att hitta kontaktuppgifterna. Tack vare Cybersäkerhetscentrets sårbarhetskoordination behöver forskaren inte sätta tid på samordning eller på att kontakta berörda parter. Det är möjligt att tillverkaren vid behov ställer klargörande frågor om den anmälda sårbarheten. Frågorna kan gälla till exempel vilket operativsystem som använts i utredningen, vilka versioner, tidpunkter och hurdan konfiguration som använts vid testningen.

De flesta moderna organisationer meddelar att de genast börjar utreda den anmälda sårbarheten, och om det är möjligt meddelar de även att de kommer att korrigera den inom till exempel 30 dagar.

En annan utmaning med att anmäla en sårbarhet kan vara att det till exempel är fråga om en utländsk tillverkare, vars kontaktuppgifter är väldigt svåra att hitta. I sådana fall kan Cybersäkerhetscentret diskutera med sina utländska kolleger och på det viset leta efter lämpliga kontaktuppgifter för att förmedla meddelandet.

Exempel 4: En enhet för fastighetsautomation på nätet

En forskare har upptäckt enheter för fastighetsautomation som inte borde vara på nätet. Forskaren har informerat tillverkaren om saken, men ingenting har hänt. Forskaren tänker att Cybersäkerhetscentret skulle kunna samordna ärendet.

Det kan vara fråga om att tillverkarens standardinställningar är svaga och att det därför är möjligt att logga in på enheten med till exempel allmänna koder som finns i instruktionsboken. Om en sådan enhet dessutom ansluts till internet kan vem som helst enkelt få åtkomst till den. I dag bör inloggning på nya enheter ske med ett unikt användarnamn och lösenord redan när enheten tas i bruk. Dessutom ska det även gärna vara så att användaren när hen loggar in för första gången tvingas byta det fabriksinställda lösenordet.

Enheter för fastighetsautomation och även andra enheter som är anslutna till internet bör vara väl skyddade om de behöver vara anslutna till internet. Vi undersöker årligen antalet oskyddade automationsenheter i finländska nät. Läs kartläggningen för år 2020 (Extern länk).

Termbank för statistik över sårbarhetskoordinationen

De sårbarheter som anmäls till Cybersäkerhetscentret gäller ofta dataskyddet för en webbplats eller en tjänst. Information som är lättillgänglig kan vara av sådan karaktär att den inte borde synas för andra. Sådan information är till exempel personuppgifter eller olika typer av kunduppgifter.
Även föråldrad eller svag lösenordspraxis är ett återkommande fenomen. Det kan hända att det för en i övrigt informationssäker produkt finns ett hårdkodat standardlösenord. I olika webbtjänster kan det även finnas rum för förbättring av lösenordspraxis beträffande till exempel kraven på lösenord eller dess bytesegenskaper. Testning av IoT-enheter och nätverksutrustning är vanlig bland informationssäkerhetsforskare. Det är viktigt att förbättra enheternas säkerhet, eftersom antalet enheter som används på nätet och hemma ständigt ökar.

Cybersäkerhetscentret tar varje år emot omkring 50 fall som gäller sårbarhetskoordination. Siffran inkluderar de anmälningar som har krävt åtgärder av Cybersäkerhetscentret. Kategorierna av anmälningarna om sårbarheter är generellt: för kännedom, jag ber om hjälp eller samordnar ni hanteringen av sårbarheten. Vi får anmälningar från medborgare, forskare och organisationer. Vi tar emot anmälningar även av anonyma anmälare.