Vastuullinen haavoittuvuuksien käsittely Käännös NCSC-NL:n julkaisusta Responsible Disclosure Guideline
Sisällysluettelo Johdanto... 3 1. Mitä haavoittuvuudet ovat?... 5 2. Vastuullinen haavoittuvuustietojen ilmoittaminen... 6 Vastuullisen haavoittuvuustietojen ilmoittamisen tavoite... 6 3. Vastuut... 7 Tietojärjestelmän valmistaja... 7 Haavoittuvuuden löytäjä... 7 Kyberturvallisuusviranomainen... 7 4. Vastuullisen haavoittuvuuksien käsittelyn osapuolet... 8 Valmistaja... 8 Haavoittuvuuden löytäjä... 9 Kyberturvallisuusviranomainen... 9
Johdanto Tieto- ja viestintätekniikasta (ICT) on tullut olennainen osa yhteiskuntaamme. Yhtäältä sen avulla voidaan toteuttaa valtavasti erilaisia käyttäjäsovelluksia, mutta toisaalta tekniikan runsaan käytön vuoksi siihen liittyvät tietoturvahaavoittuvuudet voivat lisääntyä. ICT-roolin kasvaessa kasvaa myös haavoittuvuuksien käsittelytavan merkitys. ICT-tietoturvayhteisöön kuuluu monenlaisia toimijoita, jotka hankkivat tietoa järjestelmien haavoittuvuuksista usein eri tavoin. Yksi tärkeimmistä tavoista on etsiä haavoittuvuuksia ja riskejä niin kutsuttujen valkohattuhakkerien ja tietoturvatutkijoiden avulla. Hyvää tarkoittavat "white hat" -hakkerit ja tietoturvatutkijat ovat tärkeitä yhteistyökumppaneita niille, jotka haluavat parantaa ICT-järjestelmiensä tietoturvaa. Tietojärjestelmien haavoittuvuuksien ja tietoturvariskien kartoittaminen on hyvin tärkeää sekä julkisille että yksityisille toimijoille, jotka ovat päivittäisessä työssään erittäin riippuvaisia järjestelmiensä keskeytymättömästä toiminnasta. Omien järjestelmien haavoittuvuuksien tutkimisesta ja tietoturvan parantamisesta on tullut välttämätön osa organisaatioiden toimintaa. Tällä hetkellä tietoturvatutkijat toimivat niin, että löydetyistä haavoittuvuuksista ei ilmoiteta julkisesti kaikille. Näin esimerkiksi tieto korjaamattomasta haavoittuvuudesta ei pääse leviämään tiedotusvälineissä tai muuta välillistä reittiä. Niin kutsutun paikkaamattoman haavoittuvuustiedon leviäminen olisi hyvin haitallista, koska saatavilla on erityisiä ohjelmistoja, joiden avulla tietoon tulleita haavoittuvuuksia voidaan hyväksikäyttää. Haavoittuvuuksia ko s- kevan tiedon liian varhainen julkistaminen voi olla vahingollista myös hyvin aikomuksin toimineelle osapuolelle. Organisaatiotkaan eivät pysty välittömästi puolustautumaan haavoittuvuutta vastaan tietoturvatoimiaan lisäämällä. Ennen kuin haavoittuvuustieto julkaistaan, on tärkeää antaa aikaa myös ohjelmisto- tai järjestelmävalmistajalle haavoittuvuuden korjaamiseen. On tärkeää saada tietoturvayhteisön jäsenet yhteistyöhön. Tämän julkaisun tarkoituksena on helpottaa yhteistyötä 1. haavoittuvuuksia löytäneiden ja niiden korjausta toivovien 2. haavoittuvuustietoja julkaisevien toimijoiden 3. sellaisten toimijoiden välillä, joihin haavoittuvuudet vaikuttavat ja jotka ovat riippuvaisia haavoittuneista järjestelmistä. On suositeltavaa, että yhteistyön osapuolet sitoutetaan toimintaan määrittämällä kunkin roolit ja tehtävät selkeästi. Näin kaikki osapuolet tietävät omat vastuunsa ja voidaan saavuttaa yhteinen tavoite eli tietojärjestelmien tietoturvan parantaminen. Vastuullisella haavoittuvuuksien käsittelyllä ja yhtenäisellä ilmoittamiskäytännöllä voidaan helpottaa haavoittuvuustiedon jakamista hyvässä yhteistyössä ICT-tietoturvayhteisön kanssa. Menetelmä hyödyttää myös valkohattuhakkereita ja tietoturvatutkijoita, kun osapuolten vastuut ja menetelmätavat ovat kaikille osapuolille selvät. Vastuullisen haavoittuvuustiedon käsittelysuositukset on laadittu sovellettavien rikoslakien mukaisiksi. Niiden tarkoituksena on toimia työkaluna, jonka avulla kaikki ICT-järjestelmien tietoturvaa arvostavat osapuolet voivat tehdä yhteistyötä rakentavien ja tapausko h- taisten käytäntöjen mukaisesti. Käytäntö vähentää haavoittuvuuksien aiheuttamia tietoturvariskejä ja niiden mahdollisia negatiivisia yhteiskunnallisia, taloudellisia ja rahallisia vaikutuksia. 3
Käsittelykäytännöt perustuvat keskusteluihin monimuotoisten haavoittuvuuksia löytäneiden ja niitä havainnoivien ryhmien ja alan yksityisten sekä julkisten toimijoiden kanssa. Koko julkaisu on jaettu aihekokonaisuuksiin, joita o r- ganisaatiot voivat käyttää oman vastuullisen haavoittuvuuskäsittelyn runkona. Näin myös edistetään hyvää tiedonjakamis-tapaa. Monet toimijat ovat ryhtyneet laatimaan ohjeita ja käytäntöjä vastuullisen haavoittuvuustiedon käsittelyä varten. Näistä käytännöistä on sisällytetty osia myös tämän ohjeen lopulliseen versioon. Seuraavissa luvuissa kerrotaan, mitä haavoittuvuuksilla tarkoitetaan ja määritellään, mitä tarkoitetaan vastuullisella haavoittuvuustietojen ilmoittamisella ja keitä ovat vastuullisen haavoittuvuuskäsittelyn osapuolet. Haavoittuvuuksista yli kolmannes voi vaarantaa tietoturvaa merkittävästi 1 Yli kolmanneksessa tapauksista, joissa on hyödynnetty tunnettuja haavoittuvuuksia, järjestelmän käytettävyys, eheys ja luottamuksellisuus ovat vaarantuneet seuraavilla tavoilla: järjestelmä on saatu täysin käyttökelvottomaksi, järjestelmän tiedostoja on muokattu ja kaikkiin järjestelmän tiedostoihin on päästy käsiksi. Tunnettujen haavoittuvuuksien määrä kasvaa jatkuvasti, siksi ne tulevat jatkossakin olemaan merkittävä tietoturvauhka. Suurin syy tähän on se, että organisaatiot itse eivät korjaa eivätkä voi korjata haavoittuvuuksia. 1 Lisätietoja on julkaisussa Cyber Security Report Netherlands 2 (CSBN-2). 4
Haavoittuvuus on yhteisön, organisaation tai tietojärjestelmän taikka sen osan tietty ominaisuus, joka vaarantaa kokonaisuuden turvallisuuden. Haavoittuvuus antaa ominaisuutta vastaan hyökkäävälle mahdollisuuden aiheuttaa vahinkoa, jos suojaus hyökkäystä vastaan on heikko. Hyökkääjä voi esimerkiksi estää tai vaikeuttaa tietojen tai toimintojen normaalin käytön taikka käsitellä tietoja tai toimintoja kielletyllä tavalla. Haavoittuvuudet ovat portteja, joiden kautta tulevat uhat voivat aiheuttaa ongelmia. Korjaamalla haavoittuvuudet voidaan vähentää mahdollisia uhkia ja ongelmia. 1. Mitä haavoittuvuudet ovat? Vakavuudeltaan erilaisia haavoittuvuuksia ilmenee monissa eri laitteistojen ja ohjelmistojen osissa. Yhteistä haavoittuvuuksille on, että niiden mahdollinen hyväksikäyttö on aina tietoturvariski. Mitä riippuvaisempi organisaatio on ICT-toiminnoistaan, sitä suurempi vaikutus on hyökkäyksellä, joka kohdistuu esimerkiksi organisaation tietojärjestelmän käytettävyyteen, eheyteen tai luottamuksellisuuteen. Vaikutukset ovat merkittävät erityisesti silloin, jos organisaatio ei vielä ole tietoinen tietojärjestelmiensä haavoittuvuuksista, joita hyökkääjät käyttävät hyväkseen. Järjestelmähaavoittuvuuksia hyödyntämällä on mahdollista saattaa järjestelmä käyttökelvottomaan tilaan (käytettävyys), sen sisältämiä tietoja voidaan muuttaa (eheys) tai tietoja vo i- daan käyttää luvattomasti (luottamuksellisuus). 5
2. Vastuullinen haavoittuvuustietojen ilmoittaminen ICT-alalla on monia eri käytäntöjä, jotka koskevat haavoittuvuuksien julkistamista. Niistä voidaan tiedottaa joko täysin julkisesti tai rajoitetummin, vastuullisen käsittelytavan mukaisesti. Julkisesti haavoittuvuudesta tiedottaminen voi olla tietoturvariski erityisesti silloin, jos haavoittuvuuteen ei vielä ole löydetty korjausta. Tästä syystä vastuullinen käsittely ja suunniteltu tiedottaminen on huomattavasti suotavampaa. ICT-alalla vastuullinen haavoittuvuuksien ilmoittaminen merkitsee sitä, että haavoittuvuudet julkistetaan tavalla, joista haavoittuvuuden löytäjä ja haavoittuvan ohjelmiston valmistaja ovat yhdessä sopineet. Neuvottelun tulisi perustua osapuolten ennalta määrittämään vastuulliseen haavoittuvuuksien käsittely- ja ilmoittamistapaan. Keskeistä vastuullisessa ilmoittamistavassa on, että löytyneet haavoittuvuudet voidaan korjata ja näin myös tietojärjestelmien suojausta voidaan parantaa. Erityisen tärkeää on myös, että asianomaiset osapuolet noudattavat samoja ilmoittamista ja käsittelyä koskevia tapoja. Vastuullista käytäntöä noudattava osapuoli voi esimerkiksi olla ilmoittamatta haavoittuvuudesta, jos ennalta sovittuja sääntöjä ei noudateta. Haavoittuvuustietojen vastuullinen ilmoittaminen koskee ensisijaisesti haavoittuvuuden löytäjää ja haavoittuvan ohjelmiston valmistajaa. Näiden kahden osapuolen viestintäketjun tulisi olla mahdollisimman suora. Haavoittuvuuden löytäjä ja ohjelmistovalmistaja voivat kuitenkin yhdessä päättää, että haavoittuvuudesta ilmoitetaan kyberturvallisuusviranomaiselle tai muille ICT-tietoturvayhteisön toimijoille. Tapaa kannattaa harkita erityisesti silloin, kun haavoittuvuus ei ole tunnettu. Näin toimimalla voidaan estää tai rajoittaa haavoittuvuuden suoria tai välillisiä haittavaikutuksia. Luvussa 3 käsitellään tarkemmin eri osapuolten vastuita. Luvussa 4 esitellään vastuullisen haavoittuvuuksien käsittelyn osatekijät. Vastuullisen haavoittuvuustietojen ilmoittamisen tavoite Vastuullisen ilmoittamisen tavoitteena on lisätä ICT-järjestelmien tietoturvaa. Samalla myös hallitaan yksittäisten tietojärjestelmien tietoturvaa ja voidaan ryhtyä sellaisiin toimiin, joilla vahingot on mahdollista estää tai rajoittaa niin hyvin kuin mahdollista. Vastuullisen ilmoittamistavan mukaisesti, ennen kuin haavoittuvuus julkistetaan, asianosaisille annetaan riittävästi aikaa valmistautua tilanteen hoitamiseen niin, että suurilta vahingoilta vältytään. 6
3. Vastuut Vastuullisen haavoittuvuuksien käsittelyn tarkoituksena on vähentää tietojärjestelmien haavoittuvuuksia niin, että prosessiin voivat osallistua sekä haavoittuvuuden löytäjä että haavoittuneen järjestelmän valmistaja. Vastuullisen haavoittuvuuksien käsittelyn noudattaminen ei kuitenkaan poista muita voimassa olevia vastuita ja velvoitteita. Kaikilla, jotka ovat osana vastuullista haavoittuvuuskäsittelyä, on oma tehtävänsä. Kunkin toimijan velvollisuudet kuvataan seuraavassa lyhyesti. Tietojärjestelmän valmistaja Valmistaja on ensisijaisesti vastuussa oman järjestelmänsä tietoturvasta. Näin valmistajan on myös mietittävä tarkkaan, kuinka se reagoi, jos haavoittuvuus julkaistaan. Organisaatio voi ohjeistuksen perusteella noudattaa avointa haavoittuvuustietojen vastuullista ilmoittamiskäytäntöä. Kyberturvallisuusviranomainen Vastuullinen haavoittuvuuskäsittely koskee ensisijaisesti haavoittuneen tietojärjestelmän valmistaja. Valmistaja voi säädellä tietojen ilmoittamista omilla käytännöillään. Silti myös kyberturvallisuusviranomaisen on toiminnallaan edistettävä vastuullista haavoittuvuustietojen ilmoittamista. Kyberturvallisuusviranomaisen tehtävänä on välittää ICT-haavoittuvuuksia koskevia tietoja valtionhallinnolle ja tärkeimmille toimialoille. Haavoittuvuuden korjauksesta vastaavat voivat tarpeen mukaan pyytää kyberturvallisuusviranomaista ilmoittamaan muille löydetyistä haavoittuvuuksista. Jos haavoittuvuudesta ilmoitetaan suoraan kyberturvallisuusviranomaiselle, se yrittää luoda suoran yhteyden haavoittuvuuden löytäjän ja haavoittuneen järjestelmän valmistajan välille. Haavoittuvuuden löytäjä Vastuullisen haavoittuvuuksien käsittelyn toteutus on pitkälti kiinni haavoittuvuuden löytäjästä. Löytäjä on havainnut haavoittuvuuden ja haluaa julkistaa sen, jotta järjestelmän valmistaja voisi korjata haavoittuvuuden. Löytäjä vastaa omista toimistaan ja tavasta, jolla hän on havainnut haavoittuvuuden. Haavoittuvuudesta ilmoittaminen ei vapauta löytäjää rikostutkinnasta ja - syytteistä, jos hän on syyllistynyt riko k- seen todentaessaan haavoittuvuuden olemassaolon. Vastuullisen ilmoittamiskäytännön mukaisesti valmistaja ja löytäjä voivat sopia, että haavoittuvuuden löytäjän tietyistä rikollisista toimista ei nosteta syytettä. Sopimuksen perusteella vastaavasti voidaan sopia myös riita-asioissa. 7
4. Vastuullisen haavoittuvuuksien käsittelyn osapuolet Seuraavassa on lueteltu vastuullisen haavoittuvuuksien käsittelyn perusteet, joita osapuolten tulisi noudattaa. Perusteet on jaoteltu sen mukaan, minkä katsotaan olevan oleellisinta valmistajan, haavoittuvuuden löytäjän ja kyberturvallisuusviranomaisen näkökulmasta. Valmistaja Vastuullinen haavoittuvuuksien käsittely lähtee pääasiassa valmistajasta, joka omistaa haavoittuneen tietojärjestelmän tai siitä, joka myy haavoittuvaa tuotetta. Valmistajalla on ensisijainen vastuu järjestelmän tai tuotteen tietoturvasta. Olennaista on, että se voi halutessaan noudattaa vastuullisen haavoittuvuuksien käsittelyn käytäntöjä, mikä antaa muun sille mahdollisuuden ratkaista haavoittuvuuksien aiheuttamia ongelmia tehokkaasti. Laatimalla oman vastuullisen käsittelykäytäntönsä valmistaja voi tehdä selväksi, miten se käsittelee haavoittuvuustietoja. On kannattavaa laatia oma vastuullinen käytäntönsä ja julkaista se myös muiden saataville. Seuraavassa on esimerkkejä toimivista toteutustavoista: Valmistaja varmistaa, että kynnys ilmoittaa haavoittuvuuksista on matala. Ilmoittamistapa voidaan vakioida esimerkiksi ilmoitusten tekemiseen tarkoitetulla verkkolomakkeella. Kannattaa myös harkita, voisiko se hyväksyä haavoittuvuuksista ilmoittamisen nimettömänä. Valmistaja on varautunut ja ylläpitää resursseja, joiden avulla se kykenee reagoimaan asianmukaisesti mahdollisiin ilmoituksiin. Valmistaja vastaanottaa ilmoituksen haavoittuvuudesta ja varmistaa, että ilmoitus välitetään mahdollisim- man nopeasti eteenpäin niille asiantuntijoille, jotka pystyvät parhaiten arvioimaan ilmoituksen ja reagoimaan siihen. Valmistaja lähettää haavoittuvuuden löytäjälle vahvistuksen ilmoituksen vastaanottamisesta. Vahvistus olisi hyvä lähettää sähköisesti allekirjoitettuna, mikä korostaisi asian tärkeyttä. Tämän jälkeen valmistaja ja löytäjä ovat yhteydessä toisiinsa ja keskustelevat jatkoto i- mista. Jos haavoittuvuus on tarkoitus julkistaa, valmistaja asettaa julkistuspäivämäärän haavoittuvuuden löytäjän kanssa käytyjen neuvottelujen perusteella. Ohjelmistohaavoittuvuuksien yhteydessä kohtuullinen odotusaika on yleensä 60 päivää. Laitteistohaavoittuvuuksien korjaaminen on huomattavasti vaikeampaa, siksi niihin kohdistuvien haavoittuvuuksien julkaisuissa kohtuullinen odotusaika on kuusi kuukautta. Osapuolet voivat keskenään neuvotella ja sopia, että julkistusta on järkevää nopeuttaa tai pitkittää, etenkin jos monet järjestelmät ovat riippuvaisia esimerkiksi haavoittuneesta ohjelmistosta. Jos haavoittuvuuden korjaaminen on vaikeaa, mahdotonta tai siitä aiheutuu merkittäviä kustannuksia, löytäjä ja valmistaja voivat päättää olla julkistamatta haavoittuvuutta. Valmistaja pitää haavoittuvuuden löytäjän ja mahdolliset muut asianosaiset ajan tasalla haavoittuvuuden korjaamistilanteesta. Valmistaja voi antaa haavoittuvuuden löytäjälle tunnustuksen ja esittää tälle julkisen kiitoksen, jos löytäjä näin haluaa. Haavoittuneen ICT-tuotteen tai - palvelun valmistaja voi halutessaan myöntää löytäjälle palkkion, jos tämä on noudattanut vastuullisen haavoittuvuustiedottamisen periaatteita. Palkkion suuruus voi perustua 8
esimerkiksi julkistettujen haavoittuvuustietojen laatuun. Valmistaja voi sopia löytäjän kanssa, tiedotetaanko haavoittuvuudesta koko ICT-yhteisöä, jos on todennäköistä, että haavoittuvuus löytyy esimerkiksi myös monen muun valmistajan tuotteista. Valmistaja ilmaisee vastuullisen haavoittuvuuksien käsittelyn käytännöissään, että se ei ryhdy oikeustoimiin, jos haavoittuvuuden löytäjä toimii vastuullisen käytännön mukaisesti. Haavoittuvuuden löytäjä Vastuullisen haavoittuvuuksien käsittelyn toteutus riippuu löytäjästä, joka havainnut haavoittuvuuden tietystä tietojärjestelmästä. Löytäjä haluaa parantaa haavoittuneen järjestelmän tietoturvaa julkistamalla haavoittuvuuden. Näin myös valmistajalla on mahdollisuus korjata järjestelmänsä. Löytäjän tulisi tiedostaa roolinsa ja ilmoittaa haavoittuvuudesta vastuullisen käsittelykäytännön mukaisesti. Löytäjän näkökulmasta vastuullisen ilmoittamiskäytännön tulee perustua seuraaviin osatekijöihin: Löytäjä on vastuussa omista toimistaan. Hänen on ilmoitettava haavoittuvuudesta ensin haavoittuvuuden kohteena olevan järjestelmän valmistajalle. Löytäjän on ilmoitettava haavoittuvuudesta niin nopeasti kuin vain mahdollista. Näin vähennetään riskiä, että vihamieliset toimijat ehtisivät löytää haavoittuvuuden ja käyttää sitä hyväkseen. Haavoittuvuusilmoitus on kuitenkin tehtävä luottamuksellisesti, jotta ulkopuoliset eivät pääsisi käsiksi kyseiseen tietoon. Löytäjä ei saa käyttää esimerkiksi seuraavia toimintatapoja: pääsyn hankkiminen järjestelmään käyttäjiä manipuloimalla oman takaportin luonti tietojärjestelmään haavoittuvuuden havainnollistamistarkoituksessa; voi aiheuttaa lisää vahinkoa ja aiheuttaa tarpeettomia tietoturvariskejä haavoittuvuuden hyödyntäminen tavalla, joka on suhteeton vain haavoittuvuuden olemassaolon varmistamisen vuoksi järjestelmän tietojen kopiointi, muokkaaminen tai poistaminen, sen sijaan järjestelmästä voidaan tehdä hakemistoluettelo järjestelmän muuttaminen järjestelmän toistuva käyttö tai käyttömahdollisuudesta kertominen muille pääsyn hankkiminen järjestelmään väsytysmenetelmällä, erilaisia salasanoja toistuvasti kokeilemalla, mikä ei varsinaisesti ole haavoittuvuuden hyödyntämistä. Lopuksi löytäjä ja järjestelmän valmistaja voivat yhdessä ilmoittaa haavoittuvuudesta laajemmalle ICT-yhteisölle. Tämä voi olla oikea toimintatapa etenkin silloin, jos kyseessä on uusi haavoittuvuus ja on todennäköistä, että haavoittuvuutta esiintyy muissakin järjestelmissä tai muilla valmistajilla. Tällaisessa tapauksessa voidaan olla yhteydessä kyberturvallisuusviranomaiseen, joka puolestaan välittää tietoa asiasta valtionhallinnolle ja tärkeimmille toimialoille. Kyberturvallisuusviranomainen Vastuullinen haavoittuvuuksien käsittely ja niistä ilmoittaminen on pääasiassa järjestelmävalmistajien ja haavoittuvuuksien löytäjien välinen asia. Siitä huolimatta kyberturvallisuusviranomaisen tehtävänä on edistää vastuullisen haavoittuvuuksien käsittelyn käytäntöjä. Kyberturvallisuusviranomainen voi myös osallistua haavoittuvuuden löytäjän ja haavoittuneen järjestelmän valmistajan neuvotteluihin, kun haavoittuvuudesta jaetaan tietoa sen kohderyh- 9
mälle haavoittuvuuden aiheuttamien tietoturvariskien vähentämiseksi. Jos haavoittuvuuden löytäjä ottaa yhteyttä suoraan kyberturvallisuusviranomaiseen, se yrittää luoda yhteyden löytäjän ja valmistajan välille. Neuvoteltuaan järjestelmävalmistajien ja haavoittuvuuksien löytäjien kanssa kyberturvallisuusviranomainen välittää käytettävissä olevat haavoittuvuutta koskevat tekniset tiedot ICT-yhteisölle. On mahdollista esimerkiksi julkaista vain osa haavoittuvuustiedoista, julkaista haavoittuvuudesta artikkeli tai tiedote, jota on mahdollista päivittää tai ilmoittaa haavoittuvuudesta suoraan valmistajalle. Aina, kun ilmoitus tehdään kyberturvallisuusviranomaiselle, se pyrkii luomaan yhteyden haavoittuvuuden löytäjän ja valmistajan välille. Aina, kun kyberturvallisuusviranomaiselle ilmoitetaan haavoittuvuuksista, viranomainen tiedottaa asiasta valtionhallinnon organisaatioille ja niille toimialoille, joita haavoittuvuus koskee. 10
Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi Alkuperäinen julkaisu Kansallinen kyberturvallisuuskeskus (Nationaal Cyber Security Centrum) Turvallisuus- ja oikeusministeriö (Ministerie van Veiligheid en Justitie) www.ncsc.nl/english https://www.ncsc.nl/english/c urrenttopics/responsible-disclosureguideline.html