Sårbarheter - att anmäla sårbarheter på korrekt sätt
Informationssäkerhet Nu!
I den andra delen av våra artiklar om publicering av sårbarheter försöker vi svara på de vanliga frågor som man ofta ställer oss. Har du funderat på vart du kan anmäla en sårbarhet som du hittat? Vill du göra en anmälan men hittar inte några anvisningar? Har du hört att man får betalt för att anmäla sårbarheter men vet inte hur processen går till? Vi berättar vad du ska göra.
Vad är sårbarheter?
Sårbarhet innebär vilken som helst svaghet som möjliggör att en skada realiseras eller som kan användas för att orsaka en skada. Sårbarheter kan förekomma i till exempel informationssystem, applikationer, apparater, processer och hemautomatik, eller kan orsakas till följd av människors verksamhet.
Sårbarheter publiceras av såväl tillverkare, medborgare som applikationsutvecklare. I ideala förhållanden offentliggörs sårbarheterna när det finns ett sätt för mitigering (eng. "mitigation") eller programfix (eng. "patch").
Det finns sårbarheter i all teknologi och orsakerna är många. En sårbarhet kan bero till exempel på att man använder ouppdaterad och gammal teknik eller att man har kombinerat svagheter som bedömts vara mindre kritiska.
Hur anmäls sårbarheter?
Det finns processer och praxis för att göra olika aktörer medvetna om sårbarheter. En allmänt god princip anses vara att svagheter inte används i onödan för att verifiera ett problem. Nedladdning, undersökning eller spridning av information kan uppfylla kännetecken för brott.
Det är viktigt att köra uppdateringar och se till att de processer som hänför sig till dem fungerar. Som värst kan affärsverksamheten lamslås eller förhindras helt om man börjar utnyttja sårbarheten.
Det finns många olika sårbarheter som är av olika svårighetsgrad, de bedöms vara till exempel allvarliga eller kritiska på basis av metoder för utnyttjande och flera andra faktorer. I en annan artikel berättar vi närmare om sårbarheter, deras klassificering och varför vissa sårbarheter är mer kritiska än andra.
De korrekta anmälningsprocesserna beror på den instans dit man anmäler sårbarheten. Nedan betraktar vi några alternativ.
Vilka anmälningsprocesser finns det?
Åtgärdande av sårbarheter
Efter att man gjort anmälan kan det hända att man behöver vänta på åtgärdande eller kontakt även om organisationen skulle inställa sig positivt till anmälan. Åtgärdandet kan dröja och organisationen kan ha sina egna tidtabeller för att genomföra dem. Ha tålamod och ge företaget tid att undersöka, verifiera och utreda konsekvenserna av sårbarheten och eventuellt kontakta kunder.
I ideala förhållanden är anmälan en positiv erfarenhet och en bra interaktionssituation för alla parter. En positiv erfarenhet hjälper med nya anmälningar och ger en positiv uppfattning av samarbetet.
Stora aktörer, teknologiföretag och internationella företag har ofta sina processer och förfaranden för att sköta sårbarheter. Små och medelstora företag har nödvändigtvis inte lika heltäckande processer för att sköta och förebygga sårbarheter. Att förstå sårbarheter kan ställa till bekymmer även för informationssäkerhetsexperter, och därför lönar det sig att söka, begära eller köpa hjälp vid behov.
Hur kan man skydda sig mot sårbarheter?
Informationssäkerhet ska alltid bedömas i verksamhetsmiljöns kontext. Till stöd för detta bedömningsarbete har vi publicerat olika guider för företag . Se tips för nyttiga guider nedan.