Vastuullinen haavoittuvuuksien käsittely

Samankaltaiset tiedostot
Vastuullinen haavoittuvuuksien käsittely

Luottamusta lisäämässä

1. Tietokonejärjestelmien turvauhat

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Toshiba EasyGuard käytännössä: Portégé M300

STT:n yleiset sopimusehdot

EUROOPAN KESKUSPANKKI

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

IT-palveluiden käyttöperiaatteet. (työsopimuksen osa)

A8-0141/142

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Käyttöehdot. 1. Käyttöehtojen tarkoitus ja soveltamisala

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

TASEPALVELUSOPIMUS (Balance Agreement) NRO XX [TASEVASTAAVA OY] sekä FINGRID OYJ

Eurooppalaiset menettelysäännöt sovittelijoille

ILMOITUS JÄSENTEN TALOUDELLISISTA SIDONNAISUUKSISTA

ILMOITUS JÄSENTEN TALOUDELLISISTA SIDONNAISUUKSISTA

Lääkärien ja lääkeyritysten taloudellisten suhteiden avoimuus. LT Lauri Vuorenkoski terveyspolitiikan asiantuntija

XEROXIN TURVATIEDOTE XRX Http-palvelimen haavoittuvuus ESS:ssä/verkko-ohjaimessa saattaa mahdollistaa järjestelmän luvattoman käytön.

ILMOITUS JÄSENTEN TALOUDELLISISTA SIDONNAISUUKSISTA

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Kyberturvallisuus kiinteistöautomaatiossa

Valtion ylimpiä virkamiehiä koskeva ilmoitus sidonnaisuuksista (Valtion virkamieslain 26 :n 1-4 kohdissa tarkoitetut virat)

Ohjeet. keskusvastapuolten ja kauppapaikkojen tapahtumasyötteiden antamisesta arvopaperikeskusten saataville 08/06/2017 ESMA FI

DLP ratkaisut vs. työelämän tietosuoja

Älykkäät tietojärjestelmät - turvalliset sensorit osana potilaan hoitoa

Eläketurvakeskuksen tietosuojapolitiikka

HYRYNSALMEN KUNNAN TYÖSUOJELUN TOIMINTAOHJELMA

KOMISSION SUOSITUS. annettu ,

ASUNTO-OSAKEHUONEISTOSSA TEHTÄVÄSTÄ KUNNOSSAPITO- JA MUUTOSTYÖSTÄ ILMOITUS

Ollahanpas ihimisiksi

HAAVOITTUVUUSPALKINTO- OHJELMAN SÄÄNNÖT JA EHDOT

Palvelusopimus. Meri-Lapin kuntapalvelut liikelaitoskuntayhtymä. Kemin kaupunki

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö

Uusi asunto-osakeyhtiölaki

WELHO ADSL -LAAJAKAISTAPALVELUIDEN PALVELUKUVAUS KULUTTAJA-ASIAKKAILLE (alkaen )

Kaasupörssin kaupankäynti-ilmoitussäännöt Versio 1.0

Henkilötietojen käsittelyn ehdot. 1. Yleistä

A8-0141/121

Tietoturvallisuusliite

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lilli Huolenpito PALVELUKUVAUS

Big Brother -faniraportoijakisan säännöt ja rekisteriseloste

TORI-verkkohaastattelu Tiivistelmä tuloksista

Minä allekirjoittanut, ollen täysin tietoinen työjärjestyksestä ja siihen liitetyistä jäsenten menettelysäännöistä,

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Varmaa ja vaivatonta viestintää

LSPeL Porin toiminta-alueen kevätseminaari

HALLITSE HAAVOITTUVUUKSIA

Ylivoimaiset esteet postinjakelussa

HAAVOITTUVUUSPALKINTO- OHJELMAN SÄÄNNÖT JA EHDOT

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Sertifikaattitilisopimus biokaasusertifikaattijärjestelmän käyttö

Rakenta Oy Helsinki. Sergey Kovalev

Verkostoautomaatiojärjestelmien tietoturva

Politiikka ja pedagogiikka: tehtäviä ja toimintahäiriöitä

Arkkitehtuurikuvaus. Ratkaisu ohjelmistotuotelinjan monikielisyyden hallintaan Innofactor Oy. Ryhmä 14

EVALUATIIVISEN SOVITTELUN SÄÄNNÖT

5581/16 ADD 1 team/sl/si 1 DGE 2B

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

Sisämarkkina- ja kuluttajansuojavaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

VÄLIMIESMENETTELYN KESKEYTTÄMINEN...

Verkkopalkan palvelukuvaus

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Liite verkkopalveluehtoihin koskien sähköntuotannon verkkopalvelua Tvpe 11. Voimassa alkaen

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

LAUSUNTOPYYNTÖKYSELY HALLITUKSEN ESITYSLUONNOKSESTA LAIKSI SOSIAALI- JA TERVEYSPALVELUJEN TUOTTAMISESTA

Julkinen. Kysymyksiä ja vastauksia (Q&A) - Sisäpiiritiedon julkistaminen ja julkistamisen lykkääminen (MAR 17 artikla)

Näytesivut HALLITUS. 4.1 Hallituksen tehtävät

Maatalouden Laskentakeskus Oy Minun Maatilani - ohjelmiston palvelusopimus

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

TIETOSUOJAVASTAAVA PROJEKTI SOPIMUS

NEUVOSTON JA KOMISSION YHTEINEN LAUSUMA KILPAILUVIRANOMAISTEN VERKOSTON TOIMINNASTA

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

TIETOTURVALLISUUDESTA

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

1 YLEISTÄ TURVALLISUUSPOIKKEAMISTA ILMOITTAMINEN Tarkempi selvitys turvallisuuspoikkeamasta... 4

Tiedostona sähköisesti annettujen oma-aloitteisten verojen veroilmoitusten ja arvonlisäveron yhteenvetoilmoitusten korjaaminen

Enmac Oy:n markkinointirekisterin tietosuojaseloste

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Transkriptio:

Vastuullinen haavoittuvuuksien käsittely Käännös NCSC-NL:n julkaisusta Responsible Disclosure Guideline

Sisällysluettelo Johdanto... 3 1. Mitä haavoittuvuudet ovat?... 5 2. Vastuullinen haavoittuvuustietojen ilmoittaminen... 6 Vastuullisen haavoittuvuustietojen ilmoittamisen tavoite... 6 3. Vastuut... 7 Tietojärjestelmän valmistaja... 7 Haavoittuvuuden löytäjä... 7 Kyberturvallisuusviranomainen... 7 4. Vastuullisen haavoittuvuuksien käsittelyn osapuolet... 8 Valmistaja... 8 Haavoittuvuuden löytäjä... 9 Kyberturvallisuusviranomainen... 9

Johdanto Tieto- ja viestintätekniikasta (ICT) on tullut olennainen osa yhteiskuntaamme. Yhtäältä sen avulla voidaan toteuttaa valtavasti erilaisia käyttäjäsovelluksia, mutta toisaalta tekniikan runsaan käytön vuoksi siihen liittyvät tietoturvahaavoittuvuudet voivat lisääntyä. ICT-roolin kasvaessa kasvaa myös haavoittuvuuksien käsittelytavan merkitys. ICT-tietoturvayhteisöön kuuluu monenlaisia toimijoita, jotka hankkivat tietoa järjestelmien haavoittuvuuksista usein eri tavoin. Yksi tärkeimmistä tavoista on etsiä haavoittuvuuksia ja riskejä niin kutsuttujen valkohattuhakkerien ja tietoturvatutkijoiden avulla. Hyvää tarkoittavat "white hat" -hakkerit ja tietoturvatutkijat ovat tärkeitä yhteistyökumppaneita niille, jotka haluavat parantaa ICT-järjestelmiensä tietoturvaa. Tietojärjestelmien haavoittuvuuksien ja tietoturvariskien kartoittaminen on hyvin tärkeää sekä julkisille että yksityisille toimijoille, jotka ovat päivittäisessä työssään erittäin riippuvaisia järjestelmiensä keskeytymättömästä toiminnasta. Omien järjestelmien haavoittuvuuksien tutkimisesta ja tietoturvan parantamisesta on tullut välttämätön osa organisaatioiden toimintaa. Tällä hetkellä tietoturvatutkijat toimivat niin, että löydetyistä haavoittuvuuksista ei ilmoiteta julkisesti kaikille. Näin esimerkiksi tieto korjaamattomasta haavoittuvuudesta ei pääse leviämään tiedotusvälineissä tai muuta välillistä reittiä. Niin kutsutun paikkaamattoman haavoittuvuustiedon leviäminen olisi hyvin haitallista, koska saatavilla on erityisiä ohjelmistoja, joiden avulla tietoon tulleita haavoittuvuuksia voidaan hyväksikäyttää. Haavoittuvuuksia ko s- kevan tiedon liian varhainen julkistaminen voi olla vahingollista myös hyvin aikomuksin toimineelle osapuolelle. Organisaatiotkaan eivät pysty välittömästi puolustautumaan haavoittuvuutta vastaan tietoturvatoimiaan lisäämällä. Ennen kuin haavoittuvuustieto julkaistaan, on tärkeää antaa aikaa myös ohjelmisto- tai järjestelmävalmistajalle haavoittuvuuden korjaamiseen. On tärkeää saada tietoturvayhteisön jäsenet yhteistyöhön. Tämän julkaisun tarkoituksena on helpottaa yhteistyötä 1. haavoittuvuuksia löytäneiden ja niiden korjausta toivovien 2. haavoittuvuustietoja julkaisevien toimijoiden 3. sellaisten toimijoiden välillä, joihin haavoittuvuudet vaikuttavat ja jotka ovat riippuvaisia haavoittuneista järjestelmistä. On suositeltavaa, että yhteistyön osapuolet sitoutetaan toimintaan määrittämällä kunkin roolit ja tehtävät selkeästi. Näin kaikki osapuolet tietävät omat vastuunsa ja voidaan saavuttaa yhteinen tavoite eli tietojärjestelmien tietoturvan parantaminen. Vastuullisella haavoittuvuuksien käsittelyllä ja yhtenäisellä ilmoittamiskäytännöllä voidaan helpottaa haavoittuvuustiedon jakamista hyvässä yhteistyössä ICT-tietoturvayhteisön kanssa. Menetelmä hyödyttää myös valkohattuhakkereita ja tietoturvatutkijoita, kun osapuolten vastuut ja menetelmätavat ovat kaikille osapuolille selvät. Vastuullisen haavoittuvuustiedon käsittelysuositukset on laadittu sovellettavien rikoslakien mukaisiksi. Niiden tarkoituksena on toimia työkaluna, jonka avulla kaikki ICT-järjestelmien tietoturvaa arvostavat osapuolet voivat tehdä yhteistyötä rakentavien ja tapausko h- taisten käytäntöjen mukaisesti. Käytäntö vähentää haavoittuvuuksien aiheuttamia tietoturvariskejä ja niiden mahdollisia negatiivisia yhteiskunnallisia, taloudellisia ja rahallisia vaikutuksia. 3

Käsittelykäytännöt perustuvat keskusteluihin monimuotoisten haavoittuvuuksia löytäneiden ja niitä havainnoivien ryhmien ja alan yksityisten sekä julkisten toimijoiden kanssa. Koko julkaisu on jaettu aihekokonaisuuksiin, joita o r- ganisaatiot voivat käyttää oman vastuullisen haavoittuvuuskäsittelyn runkona. Näin myös edistetään hyvää tiedonjakamis-tapaa. Monet toimijat ovat ryhtyneet laatimaan ohjeita ja käytäntöjä vastuullisen haavoittuvuustiedon käsittelyä varten. Näistä käytännöistä on sisällytetty osia myös tämän ohjeen lopulliseen versioon. Seuraavissa luvuissa kerrotaan, mitä haavoittuvuuksilla tarkoitetaan ja määritellään, mitä tarkoitetaan vastuullisella haavoittuvuustietojen ilmoittamisella ja keitä ovat vastuullisen haavoittuvuuskäsittelyn osapuolet. Haavoittuvuuksista yli kolmannes voi vaarantaa tietoturvaa merkittävästi 1 Yli kolmanneksessa tapauksista, joissa on hyödynnetty tunnettuja haavoittuvuuksia, järjestelmän käytettävyys, eheys ja luottamuksellisuus ovat vaarantuneet seuraavilla tavoilla: järjestelmä on saatu täysin käyttökelvottomaksi, järjestelmän tiedostoja on muokattu ja kaikkiin järjestelmän tiedostoihin on päästy käsiksi. Tunnettujen haavoittuvuuksien määrä kasvaa jatkuvasti, siksi ne tulevat jatkossakin olemaan merkittävä tietoturvauhka. Suurin syy tähän on se, että organisaatiot itse eivät korjaa eivätkä voi korjata haavoittuvuuksia. 1 Lisätietoja on julkaisussa Cyber Security Report Netherlands 2 (CSBN-2). 4

Haavoittuvuus on yhteisön, organisaation tai tietojärjestelmän taikka sen osan tietty ominaisuus, joka vaarantaa kokonaisuuden turvallisuuden. Haavoittuvuus antaa ominaisuutta vastaan hyökkäävälle mahdollisuuden aiheuttaa vahinkoa, jos suojaus hyökkäystä vastaan on heikko. Hyökkääjä voi esimerkiksi estää tai vaikeuttaa tietojen tai toimintojen normaalin käytön taikka käsitellä tietoja tai toimintoja kielletyllä tavalla. Haavoittuvuudet ovat portteja, joiden kautta tulevat uhat voivat aiheuttaa ongelmia. Korjaamalla haavoittuvuudet voidaan vähentää mahdollisia uhkia ja ongelmia. 1. Mitä haavoittuvuudet ovat? Vakavuudeltaan erilaisia haavoittuvuuksia ilmenee monissa eri laitteistojen ja ohjelmistojen osissa. Yhteistä haavoittuvuuksille on, että niiden mahdollinen hyväksikäyttö on aina tietoturvariski. Mitä riippuvaisempi organisaatio on ICT-toiminnoistaan, sitä suurempi vaikutus on hyökkäyksellä, joka kohdistuu esimerkiksi organisaation tietojärjestelmän käytettävyyteen, eheyteen tai luottamuksellisuuteen. Vaikutukset ovat merkittävät erityisesti silloin, jos organisaatio ei vielä ole tietoinen tietojärjestelmiensä haavoittuvuuksista, joita hyökkääjät käyttävät hyväkseen. Järjestelmähaavoittuvuuksia hyödyntämällä on mahdollista saattaa järjestelmä käyttökelvottomaan tilaan (käytettävyys), sen sisältämiä tietoja voidaan muuttaa (eheys) tai tietoja vo i- daan käyttää luvattomasti (luottamuksellisuus). 5

2. Vastuullinen haavoittuvuustietojen ilmoittaminen ICT-alalla on monia eri käytäntöjä, jotka koskevat haavoittuvuuksien julkistamista. Niistä voidaan tiedottaa joko täysin julkisesti tai rajoitetummin, vastuullisen käsittelytavan mukaisesti. Julkisesti haavoittuvuudesta tiedottaminen voi olla tietoturvariski erityisesti silloin, jos haavoittuvuuteen ei vielä ole löydetty korjausta. Tästä syystä vastuullinen käsittely ja suunniteltu tiedottaminen on huomattavasti suotavampaa. ICT-alalla vastuullinen haavoittuvuuksien ilmoittaminen merkitsee sitä, että haavoittuvuudet julkistetaan tavalla, joista haavoittuvuuden löytäjä ja haavoittuvan ohjelmiston valmistaja ovat yhdessä sopineet. Neuvottelun tulisi perustua osapuolten ennalta määrittämään vastuulliseen haavoittuvuuksien käsittely- ja ilmoittamistapaan. Keskeistä vastuullisessa ilmoittamistavassa on, että löytyneet haavoittuvuudet voidaan korjata ja näin myös tietojärjestelmien suojausta voidaan parantaa. Erityisen tärkeää on myös, että asianomaiset osapuolet noudattavat samoja ilmoittamista ja käsittelyä koskevia tapoja. Vastuullista käytäntöä noudattava osapuoli voi esimerkiksi olla ilmoittamatta haavoittuvuudesta, jos ennalta sovittuja sääntöjä ei noudateta. Haavoittuvuustietojen vastuullinen ilmoittaminen koskee ensisijaisesti haavoittuvuuden löytäjää ja haavoittuvan ohjelmiston valmistajaa. Näiden kahden osapuolen viestintäketjun tulisi olla mahdollisimman suora. Haavoittuvuuden löytäjä ja ohjelmistovalmistaja voivat kuitenkin yhdessä päättää, että haavoittuvuudesta ilmoitetaan kyberturvallisuusviranomaiselle tai muille ICT-tietoturvayhteisön toimijoille. Tapaa kannattaa harkita erityisesti silloin, kun haavoittuvuus ei ole tunnettu. Näin toimimalla voidaan estää tai rajoittaa haavoittuvuuden suoria tai välillisiä haittavaikutuksia. Luvussa 3 käsitellään tarkemmin eri osapuolten vastuita. Luvussa 4 esitellään vastuullisen haavoittuvuuksien käsittelyn osatekijät. Vastuullisen haavoittuvuustietojen ilmoittamisen tavoite Vastuullisen ilmoittamisen tavoitteena on lisätä ICT-järjestelmien tietoturvaa. Samalla myös hallitaan yksittäisten tietojärjestelmien tietoturvaa ja voidaan ryhtyä sellaisiin toimiin, joilla vahingot on mahdollista estää tai rajoittaa niin hyvin kuin mahdollista. Vastuullisen ilmoittamistavan mukaisesti, ennen kuin haavoittuvuus julkistetaan, asianosaisille annetaan riittävästi aikaa valmistautua tilanteen hoitamiseen niin, että suurilta vahingoilta vältytään. 6

3. Vastuut Vastuullisen haavoittuvuuksien käsittelyn tarkoituksena on vähentää tietojärjestelmien haavoittuvuuksia niin, että prosessiin voivat osallistua sekä haavoittuvuuden löytäjä että haavoittuneen järjestelmän valmistaja. Vastuullisen haavoittuvuuksien käsittelyn noudattaminen ei kuitenkaan poista muita voimassa olevia vastuita ja velvoitteita. Kaikilla, jotka ovat osana vastuullista haavoittuvuuskäsittelyä, on oma tehtävänsä. Kunkin toimijan velvollisuudet kuvataan seuraavassa lyhyesti. Tietojärjestelmän valmistaja Valmistaja on ensisijaisesti vastuussa oman järjestelmänsä tietoturvasta. Näin valmistajan on myös mietittävä tarkkaan, kuinka se reagoi, jos haavoittuvuus julkaistaan. Organisaatio voi ohjeistuksen perusteella noudattaa avointa haavoittuvuustietojen vastuullista ilmoittamiskäytäntöä. Kyberturvallisuusviranomainen Vastuullinen haavoittuvuuskäsittely koskee ensisijaisesti haavoittuneen tietojärjestelmän valmistaja. Valmistaja voi säädellä tietojen ilmoittamista omilla käytännöillään. Silti myös kyberturvallisuusviranomaisen on toiminnallaan edistettävä vastuullista haavoittuvuustietojen ilmoittamista. Kyberturvallisuusviranomaisen tehtävänä on välittää ICT-haavoittuvuuksia koskevia tietoja valtionhallinnolle ja tärkeimmille toimialoille. Haavoittuvuuden korjauksesta vastaavat voivat tarpeen mukaan pyytää kyberturvallisuusviranomaista ilmoittamaan muille löydetyistä haavoittuvuuksista. Jos haavoittuvuudesta ilmoitetaan suoraan kyberturvallisuusviranomaiselle, se yrittää luoda suoran yhteyden haavoittuvuuden löytäjän ja haavoittuneen järjestelmän valmistajan välille. Haavoittuvuuden löytäjä Vastuullisen haavoittuvuuksien käsittelyn toteutus on pitkälti kiinni haavoittuvuuden löytäjästä. Löytäjä on havainnut haavoittuvuuden ja haluaa julkistaa sen, jotta järjestelmän valmistaja voisi korjata haavoittuvuuden. Löytäjä vastaa omista toimistaan ja tavasta, jolla hän on havainnut haavoittuvuuden. Haavoittuvuudesta ilmoittaminen ei vapauta löytäjää rikostutkinnasta ja - syytteistä, jos hän on syyllistynyt riko k- seen todentaessaan haavoittuvuuden olemassaolon. Vastuullisen ilmoittamiskäytännön mukaisesti valmistaja ja löytäjä voivat sopia, että haavoittuvuuden löytäjän tietyistä rikollisista toimista ei nosteta syytettä. Sopimuksen perusteella vastaavasti voidaan sopia myös riita-asioissa. 7

4. Vastuullisen haavoittuvuuksien käsittelyn osapuolet Seuraavassa on lueteltu vastuullisen haavoittuvuuksien käsittelyn perusteet, joita osapuolten tulisi noudattaa. Perusteet on jaoteltu sen mukaan, minkä katsotaan olevan oleellisinta valmistajan, haavoittuvuuden löytäjän ja kyberturvallisuusviranomaisen näkökulmasta. Valmistaja Vastuullinen haavoittuvuuksien käsittely lähtee pääasiassa valmistajasta, joka omistaa haavoittuneen tietojärjestelmän tai siitä, joka myy haavoittuvaa tuotetta. Valmistajalla on ensisijainen vastuu järjestelmän tai tuotteen tietoturvasta. Olennaista on, että se voi halutessaan noudattaa vastuullisen haavoittuvuuksien käsittelyn käytäntöjä, mikä antaa muun sille mahdollisuuden ratkaista haavoittuvuuksien aiheuttamia ongelmia tehokkaasti. Laatimalla oman vastuullisen käsittelykäytäntönsä valmistaja voi tehdä selväksi, miten se käsittelee haavoittuvuustietoja. On kannattavaa laatia oma vastuullinen käytäntönsä ja julkaista se myös muiden saataville. Seuraavassa on esimerkkejä toimivista toteutustavoista: Valmistaja varmistaa, että kynnys ilmoittaa haavoittuvuuksista on matala. Ilmoittamistapa voidaan vakioida esimerkiksi ilmoitusten tekemiseen tarkoitetulla verkkolomakkeella. Kannattaa myös harkita, voisiko se hyväksyä haavoittuvuuksista ilmoittamisen nimettömänä. Valmistaja on varautunut ja ylläpitää resursseja, joiden avulla se kykenee reagoimaan asianmukaisesti mahdollisiin ilmoituksiin. Valmistaja vastaanottaa ilmoituksen haavoittuvuudesta ja varmistaa, että ilmoitus välitetään mahdollisim- man nopeasti eteenpäin niille asiantuntijoille, jotka pystyvät parhaiten arvioimaan ilmoituksen ja reagoimaan siihen. Valmistaja lähettää haavoittuvuuden löytäjälle vahvistuksen ilmoituksen vastaanottamisesta. Vahvistus olisi hyvä lähettää sähköisesti allekirjoitettuna, mikä korostaisi asian tärkeyttä. Tämän jälkeen valmistaja ja löytäjä ovat yhteydessä toisiinsa ja keskustelevat jatkoto i- mista. Jos haavoittuvuus on tarkoitus julkistaa, valmistaja asettaa julkistuspäivämäärän haavoittuvuuden löytäjän kanssa käytyjen neuvottelujen perusteella. Ohjelmistohaavoittuvuuksien yhteydessä kohtuullinen odotusaika on yleensä 60 päivää. Laitteistohaavoittuvuuksien korjaaminen on huomattavasti vaikeampaa, siksi niihin kohdistuvien haavoittuvuuksien julkaisuissa kohtuullinen odotusaika on kuusi kuukautta. Osapuolet voivat keskenään neuvotella ja sopia, että julkistusta on järkevää nopeuttaa tai pitkittää, etenkin jos monet järjestelmät ovat riippuvaisia esimerkiksi haavoittuneesta ohjelmistosta. Jos haavoittuvuuden korjaaminen on vaikeaa, mahdotonta tai siitä aiheutuu merkittäviä kustannuksia, löytäjä ja valmistaja voivat päättää olla julkistamatta haavoittuvuutta. Valmistaja pitää haavoittuvuuden löytäjän ja mahdolliset muut asianosaiset ajan tasalla haavoittuvuuden korjaamistilanteesta. Valmistaja voi antaa haavoittuvuuden löytäjälle tunnustuksen ja esittää tälle julkisen kiitoksen, jos löytäjä näin haluaa. Haavoittuneen ICT-tuotteen tai - palvelun valmistaja voi halutessaan myöntää löytäjälle palkkion, jos tämä on noudattanut vastuullisen haavoittuvuustiedottamisen periaatteita. Palkkion suuruus voi perustua 8

esimerkiksi julkistettujen haavoittuvuustietojen laatuun. Valmistaja voi sopia löytäjän kanssa, tiedotetaanko haavoittuvuudesta koko ICT-yhteisöä, jos on todennäköistä, että haavoittuvuus löytyy esimerkiksi myös monen muun valmistajan tuotteista. Valmistaja ilmaisee vastuullisen haavoittuvuuksien käsittelyn käytännöissään, että se ei ryhdy oikeustoimiin, jos haavoittuvuuden löytäjä toimii vastuullisen käytännön mukaisesti. Haavoittuvuuden löytäjä Vastuullisen haavoittuvuuksien käsittelyn toteutus riippuu löytäjästä, joka havainnut haavoittuvuuden tietystä tietojärjestelmästä. Löytäjä haluaa parantaa haavoittuneen järjestelmän tietoturvaa julkistamalla haavoittuvuuden. Näin myös valmistajalla on mahdollisuus korjata järjestelmänsä. Löytäjän tulisi tiedostaa roolinsa ja ilmoittaa haavoittuvuudesta vastuullisen käsittelykäytännön mukaisesti. Löytäjän näkökulmasta vastuullisen ilmoittamiskäytännön tulee perustua seuraaviin osatekijöihin: Löytäjä on vastuussa omista toimistaan. Hänen on ilmoitettava haavoittuvuudesta ensin haavoittuvuuden kohteena olevan järjestelmän valmistajalle. Löytäjän on ilmoitettava haavoittuvuudesta niin nopeasti kuin vain mahdollista. Näin vähennetään riskiä, että vihamieliset toimijat ehtisivät löytää haavoittuvuuden ja käyttää sitä hyväkseen. Haavoittuvuusilmoitus on kuitenkin tehtävä luottamuksellisesti, jotta ulkopuoliset eivät pääsisi käsiksi kyseiseen tietoon. Löytäjä ei saa käyttää esimerkiksi seuraavia toimintatapoja: pääsyn hankkiminen järjestelmään käyttäjiä manipuloimalla oman takaportin luonti tietojärjestelmään haavoittuvuuden havainnollistamistarkoituksessa; voi aiheuttaa lisää vahinkoa ja aiheuttaa tarpeettomia tietoturvariskejä haavoittuvuuden hyödyntäminen tavalla, joka on suhteeton vain haavoittuvuuden olemassaolon varmistamisen vuoksi järjestelmän tietojen kopiointi, muokkaaminen tai poistaminen, sen sijaan järjestelmästä voidaan tehdä hakemistoluettelo järjestelmän muuttaminen järjestelmän toistuva käyttö tai käyttömahdollisuudesta kertominen muille pääsyn hankkiminen järjestelmään väsytysmenetelmällä, erilaisia salasanoja toistuvasti kokeilemalla, mikä ei varsinaisesti ole haavoittuvuuden hyödyntämistä. Lopuksi löytäjä ja järjestelmän valmistaja voivat yhdessä ilmoittaa haavoittuvuudesta laajemmalle ICT-yhteisölle. Tämä voi olla oikea toimintatapa etenkin silloin, jos kyseessä on uusi haavoittuvuus ja on todennäköistä, että haavoittuvuutta esiintyy muissakin järjestelmissä tai muilla valmistajilla. Tällaisessa tapauksessa voidaan olla yhteydessä kyberturvallisuusviranomaiseen, joka puolestaan välittää tietoa asiasta valtionhallinnolle ja tärkeimmille toimialoille. Kyberturvallisuusviranomainen Vastuullinen haavoittuvuuksien käsittely ja niistä ilmoittaminen on pääasiassa järjestelmävalmistajien ja haavoittuvuuksien löytäjien välinen asia. Siitä huolimatta kyberturvallisuusviranomaisen tehtävänä on edistää vastuullisen haavoittuvuuksien käsittelyn käytäntöjä. Kyberturvallisuusviranomainen voi myös osallistua haavoittuvuuden löytäjän ja haavoittuneen järjestelmän valmistajan neuvotteluihin, kun haavoittuvuudesta jaetaan tietoa sen kohderyh- 9

mälle haavoittuvuuden aiheuttamien tietoturvariskien vähentämiseksi. Jos haavoittuvuuden löytäjä ottaa yhteyttä suoraan kyberturvallisuusviranomaiseen, se yrittää luoda yhteyden löytäjän ja valmistajan välille. Neuvoteltuaan järjestelmävalmistajien ja haavoittuvuuksien löytäjien kanssa kyberturvallisuusviranomainen välittää käytettävissä olevat haavoittuvuutta koskevat tekniset tiedot ICT-yhteisölle. On mahdollista esimerkiksi julkaista vain osa haavoittuvuustiedoista, julkaista haavoittuvuudesta artikkeli tai tiedote, jota on mahdollista päivittää tai ilmoittaa haavoittuvuudesta suoraan valmistajalle. Aina, kun ilmoitus tehdään kyberturvallisuusviranomaiselle, se pyrkii luomaan yhteyden haavoittuvuuden löytäjän ja valmistajan välille. Aina, kun kyberturvallisuusviranomaiselle ilmoitetaan haavoittuvuuksista, viranomainen tiedottaa asiasta valtionhallinnon organisaatioille ja niille toimialoille, joita haavoittuvuus koskee. 10

Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi Alkuperäinen julkaisu Kansallinen kyberturvallisuuskeskus (Nationaal Cyber Security Centrum) Turvallisuus- ja oikeusministeriö (Ministerie van Veiligheid en Justitie) www.ncsc.nl/english https://www.ncsc.nl/english/c urrenttopics/responsible-disclosureguideline.html

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute