Vastuullinen haavoittuvuuksien käsittely

Samankaltaiset tiedostot
Vastuullinen haavoittuvuuksien käsittely

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

1. Tietokonejärjestelmien turvauhat

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Toshiba EasyGuard käytännössä: Portégé M300

Luottamusta lisäämässä

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

EUROOPAN KESKUSPANKKI

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt

STT:n yleiset sopimusehdot

IT-palveluiden käyttöperiaatteet. (työsopimuksen osa)

A8-0141/142

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

Eurooppalaiset menettelysäännöt sovittelijoille

Lääkärien ja lääkeyritysten taloudellisten suhteiden avoimuus. LT Lauri Vuorenkoski terveyspolitiikan asiantuntija

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Varmaa ja vaivatonta viestintää

Kyberturvallisuus kiinteistöautomaatiossa

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Ohjeet. keskusvastapuolten ja kauppapaikkojen tapahtumasyötteiden antamisesta arvopaperikeskusten saataville 08/06/2017 ESMA FI

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

DLP ratkaisut vs. työelämän tietosuoja

Älykkäät tietojärjestelmät - turvalliset sensorit osana potilaan hoitoa

HYRYNSALMEN KUNNAN TYÖSUOJELUN TOIMINTAOHJELMA

Eläketurvakeskuksen tietosuojapolitiikka

KOMISSION SUOSITUS. annettu ,

ASUNTO-OSAKEHUONEISTOSSA TEHTÄVÄSTÄ KUNNOSSAPITO- JA MUUTOSTYÖSTÄ ILMOITUS

HAAVOITTUVUUSPALKINTO- OHJELMAN SÄÄNNÖT JA EHDOT

Ollahanpas ihimisiksi

Palvelusopimus. Meri-Lapin kuntapalvelut liikelaitoskuntayhtymä. Kemin kaupunki

TASEPALVELUSOPIMUS (Balance Agreement) NRO XX [TASEVASTAAVA OY] sekä FINGRID OYJ

A8-0141/121

ILMOITUS JÄSENTEN TALOUDELLISISTA SIDONNAISUUKSISTA

ILMOITUS JÄSENTEN TALOUDELLISISTA SIDONNAISUUKSISTA

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

XEROXIN TURVATIEDOTE XRX Http-palvelimen haavoittuvuus ESS:ssä/verkko-ohjaimessa saattaa mahdollistaa järjestelmän luvattoman käytön.

Käyttöehdot. 1. Käyttöehtojen tarkoitus ja soveltamisala

Valtion ylimpiä virkamiehiä koskeva ilmoitus sidonnaisuuksista (Valtion virkamieslain 26 :n 1-4 kohdissa tarkoitetut virat)

ILMOITUS JÄSENTEN TALOUDELLISISTA SIDONNAISUUKSISTA

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

HALLITSE HAAVOITTUVUUKSIA

HAAVOITTUVUUSPALKINTO- OHJELMAN SÄÄNNÖT JA EHDOT

Rakenta Oy Helsinki. Sergey Kovalev

Sertifikaattitilisopimus biokaasusertifikaattijärjestelmän käyttö

5581/16 ADD 1 team/sl/si 1 DGE 2B

Verkostoautomaatiojärjestelmien tietoturva

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

WELHO ADSL -LAAJAKAISTAPALVELUIDEN PALVELUKUVAUS KULUTTAJA-ASIAKKAILLE (alkaen )

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

Sisämarkkina- ja kuluttajansuojavaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle

Kaasupörssin kaupankäynti-ilmoitussäännöt Versio 1.0

Tietoturvallisuusliite

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Verkkopalkan palvelukuvaus

VÄLIMIESMENETTELYN KESKEYTTÄMINEN...

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Liite verkkopalveluehtoihin koskien sähköntuotannon verkkopalvelua Tvpe 11. Voimassa alkaen

NEUVOSTON JA KOMISSION YHTEINEN LAUSUMA KILPAILUVIRANOMAISTEN VERKOSTON TOIMINNASTA

Näytesivut HALLITUS. 4.1 Hallituksen tehtävät

TIETOTURVALLISUUDESTA

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

TIETOSUOJAVASTAAVA PROJEKTI SOPIMUS

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

Lilli Huolenpito PALVELUKUVAUS

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

T a m p e r e e n A - K i l t a r y : n s ä ä n n ö t

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Big Brother -faniraportoijakisan säännöt ja rekisteriseloste

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

OSAKASSOPIMUS Jykes Kiinteistöt Oy

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus

TORI-verkkohaastattelu Tiivistelmä tuloksista

Ylivoimaiset esteet postinjakelussa

Kyberturvallisuuskeskuksen palvelut ja vuosittainen automaatiokartoitus RAKLI Käyttö- ja ylläpitotoimikunta. Erika Suortti-Myyry

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

FI Moninaisuudessaan yhtenäinen FI A8-0356/48. Tarkistus. József Nagy, Jeroen Lenaers PPE-ryhmän puolesta

VTJ:n pysyvän rakennustunnuksen käyttöönotto

Minä allekirjoittanut, ollen täysin tietoinen työjärjestyksestä ja siihen liitetyistä jäsenten menettelysäännöistä,

GRAMEXIN VERKKOPALVELUN KÄYTTÖEHDOT

PUUTTUMISKEINO KUULEMINEN ILMOITTAMINEN KIRJAAMINEN TOIMIVALTA HUOM! oppilaan huoltajille. Huoltajalle tulee varata mahdollisuus

Arkkitehtuurikuvaus. Ratkaisu ohjelmistotuotelinjan monikielisyyden hallintaan Innofactor Oy. Ryhmä 14

HÄMEENLINNAN KRISTILLISEN KOULUN KANNATUSYHDISTYS RY:N SÄÄNNÖT

EVALUATIIVISEN SOVITTELUN SÄÄNNÖT

Plus500CY Ltd. Eturistiriitoja koskevat toimintaperiaatteet

Tulorekisteri pähkinänkuoressa

Transkriptio:

Kansallinen kyberturvallisuuskeskus (Nationaal Cyber Security Centrum) Turvallisuus- ja oikeusministeriö (Ministerie van Veiligheid en Justitie) Vastuullinen haavoittuvuuksien käsittely

Sisällysluettelo 1 Mitä haavoittuvuudet ovat? 2 Vastuullinen haavoittuvuustietojen ilmoittaminen 3 Vastuut 4 Vastuullisen haavoittuvuuksien käsittelyn osapuolet

Johdanto Tieto- ja viestintätekniikasta (ICT) on tullut olennainen osa yhteiskuntaamme. Yhtäältä sen avulla voidaan toteuttaa valtavasti erilaisia käyttäjäsovelluksia, mutta toisaalta tekniikan runsaan käytön vuoksi siihen liittyvät tietoturvahaavoittuvuudet voivat lisääntyä. ICT-roolin kasvaessa kasvaa myös haavoittuvuuksien käsittelytavan merkitys. ICT-tietoturvayhteisöön kuuluu monenlaisia toimijoita, jotka hankkivat tietoa järjestelmien haavoittuvuuksista usein eri tavoin. Yksi tärkeimmistä tavoista on etsiä haavoittuvuuksia ja riskejä niin kutsuttujen valkohattuhakkerien ja tietoturvatutkijoiden avulla. Hyvää tarkoittavat "white hat" -hakkerit ja tietoturvatutkijat ovat tärkeitä yhteistyökumppaneita niille, jotka haluavat parantaa ICT-järjestelmiensä tietoturvaa. Tietojärjestelmien haavoittuvuuksien ja tietoturvariskien kartoittaminen on hyvin tärkeää sekä julkisille että yksityisille toimijoille, jotka ovat päivittäisessä työssään erittäin riippuvaisia järjestelmiensä keskeytymättömästä toiminnasta. Omien järjestelmien haavoittuvuuksien tutkimisesta ja tietoturvan parantamisesta on tullut välttämätön osa organisaatioiden toimintaa. Tällä hetkellä tietoturvatutkijat toimivat niin, että löydetyistä haavoittuvuuksista ei ilmoiteta julkisesti kaikille. Näin esimerkiksi tieto korjaamattomasta haavoittuvuudesta ei pääse leviämään tiedotusvälineissä tai muuta välillistä reittiä. Niin kutsutun paikkaamattoman haavoittuvuustiedon leviäminen olisi hyvin haitallista, koska saatavilla on erityisiä ohjelmistoja, joiden avulla tietoon tulleita haavoittuvuuksia voidaan hyväksikäyttää. Haavoittuvuuksia koskevan tiedon liian varhainen julkistaminen voi olla vahingollista myös hyvin aikomuksin toimineelle osapuolelle. Organisaatiotkaan eivät pysty välittömästi puolustautumaan haavoittuvuutta vastaan tietoturvatoimiaan lisäämällä. Ennen kuin haavoittuvuustieto julkaistaan, on tärkeää antaa aikaa myös ohjelmisto- tai järjestelmävalmistajalle haavoittuvuuden korjaamiseen. On tärkeää saada tietoturvayhteisön jäsenet yhteistyöhön. Tämän julkaisun tarkoituksena on helpottaa yhteistyötä 1. haavoittuvuuksia löytäneiden ja niiden korjausta toivovien 2. haavoittuvuustietoja julkaisevien toimijoiden 3. sellaisten toimijoiden välillä, joihin haavoittuvuudet vaikuttavat ja jotka ovat riippuvaisia haavoittuneista järjestelmistä. Haavoittuvuuksista yli kolmannes voi vaarantaa tietoturvaa merkittävästi 1 Yli kolmanneksessa tapauksista, joissa on hyödynnetty tunnettuja haavoittuvuuksia, järjestelmän käytettävyys, eheys ja luottamuksellisuus ovat vaarantuneet seuraavilla tavoilla: järjestelmä on saattu täysin käyttökelvottomaksi järjestelmän tiedostoja on muokattu kaikkiin järjestelmän tiedostoihin on päästy käsiksi. Tunnettujen haavoittuvuuksien määrä kasvaa jatkuvasti, siksi ne tulevat jatkossakin olemaan merkittävä tietoturvauhka. Suurin syy tähän on se, että organisaatiot itse eivät korjaa eivätkä voi korjata haavoittuvuuksia. On suositeltavaa, että yhteistyön osapuolet sitoutetaan toimintaan määrittämällä kunkin roolit ja tehtävät selkeästi. Näin kaikki osapuolet tietävät omat vastuunsa ja voidaan saavuttaa yhteinen tavoite eli tietojärjestelmien tietoturvan parantaminen. Vastuullisella haavoittuvuuksien käsittelyllä ja yhtenäisellä ilmoittamiskäytännöllä voidaan helpottaa haavoittuvuustiedon jakamista hyvässä yhteistyössä ICT-tietoturvayhteisön kanssa. Menetelmä hyödyttää myös valkohattuhakkereita ja tietoturvatutkijoita, kun osapuolten vastuut ja menetelmätavat ovat kaikille osapuolille selvät. Vastuullisen haavoittuvuustiedon käsittelysuositukset on laadittu sovellettavien rikoslakien mukaisiksi. Niiden tarkoituksena on toimia työkaluna, jonka avulla kaikki ICT-järjestelmien tietoturvaa arvostavat osapuolet voivat tehdä yhteistyötä rakentavien ja tapauskohtaisten käytäntöjen mukaisesti. Käytäntö vähentää haavoittuvuuksien aiheuttamia tietoturvariskejä ja niiden mahdollisia negatiivisia yhteiskunnallisia, taloudellisia ja rahallisia vaikutuksia. Käsittelykäytännöt perustuvat keskusteluihin monimuotoisten haavoittuvuuksia löytäneiden ja niitä havainnoivien ryhmien ja alan yksityisten sekä julkisten toimijoiden kanssa. Koko julkaisu on jaettu aihekokonaisuuksiin, joita organisaatiot voivat käyttää oman vastuullisen haavoittuvuuskäsittelyn runkona. Näin myös edistetään hyvää tiedonjakamistapaa. Monet toimijat ovat ryhtyneet laatimaan ohjeita ja käytäntöjä vastuullisen haavoittuvuustiedon käsittelyä varten. Näistä käytännöistä on sisällytetty osia myös tämän ohjeen lopulliseen versioon. Seuraavissa luvuissa kerrotaan, mitä haavoittuvuuksilla tarkoitetaan ja määritellään, mitä tarkoitetaan vastuullisella haavoittuvuustietojen ilmoittamisella ja keitä ovat vastuullisen haavoittuvuuskäsittelyn osapuolet. 1 Lisätietoja on julkaisussa Cyber Security Report Netherlands 2 (CSBN-2). 3 Vastuullinen haavoittuvuustietojen käsittely

Luku 1 Mitä haavoittuvuudet ovat? Vakavuudeltaan erilaisia haavoittuvuuksia ilmenee monissa eri laitteistojen ja ohjelmistojen osissa. Yhteistä haavoittuvuuksille on, että niiden mahdollinen hyväksikäyttö on aina tietoturvariski. Haavoittuvuus on yhteisön, organisaation tai tietojärjestelmän taikka sen osan tietty ominaisuus, joka vaarantaa kokonaisuuden turvallisuuden. Haavoittuvuus antaa ominaisuutta vastaan hyökkäävälle mahdollisuuden aiheuttaa vahinkoa, jos suojaus hyökkäystä vastaan on heikko. Hyökkääjä voi esimerkiksi estää tai vaikeuttaa tietojen tai toimintojen normaalin käytön taikka käsitellä tietoja tai toimintoja kielletyllä tavalla. Haavoittuvuudet ovat portteja, joiden kautta uhat voivat aiheuttaa ongelmia. Korjaamalla haavoittuvuudet voidaan vähentää mahdollisia uhkia ja ongelmia. Järjestelmähaavoittuvuuksia hyödyntämällä on mahdollista saattaa järjestelmä käyttökelvottomaan tilaan (käytettävyys), sen sisältämiä tietoja voidaan muuttaa (eheys) tai tietoja voidaan käyttää luvattomasti (luottamuksellisuus). Mitä riippuvaisempi organisaatio on ICT-toiminnoistaan, sitä suurempi vaikutus on hyökkäyksellä, joka kohdistuu esimerkiksi organisaation tietojärjestelmän käytettävyyteen, eheyteen tai luottamuksellisuuteen. Vaikutukset ovat merkittävät erityisesti silloin, jos organisaatio ei vielä ole tietoinen tietojärjestelmiensä haavoittuvuuksista, joita hyökkääjät käyttävät hyväkseen. 4 Vastuullinen haavoittuvuuksien käsittely

Luku 2 Vastuullinen haavoittuvuustietojen ilmoittaminen ICT-alalla on monia eri käytäntöjä, jotka koskevat haavoittuvuuksien julkistamista. Niistä voidaan tiedottaa joko täysin julkisesti tai rajoitetummin, vastuullisen käsittelytavan mukaisesti. Julkisesti haavoittuvuudesta tiedottaminen voi olla tietoturvariski erityisesti silloin, jos haavoittuvuuteen ei vielä ole löydetty korjausta. Tästä syystä vastuullinen käsittely ja suunniteltu tiedottaminen on huomattavasti suotavampaa. ICT-alalla vastuullinen haavoittuvuuksien ilmoittaminen merkitsee sitä, että haavoittuvuudet julkistetaan tavalla, joista haavoittuvuuden löytäjä ja haavoittuvan ohjelmiston valmistaja ovat yhdessä sopineet. Neuvottelun tulisi perustua osapuolten ennalta määrittämään vastuulliseen haavoittuvuuksien käsittely- ja ilmoittamistapaan. Vastuullisen haavoittuvuustietojen ilmoittamisen tavoite Vastuullisen ilmoittamisen tavoitteena on lisätä ICT-järjestelmien tietoturvaa. Samalla myös hallitaan yksittäisten tietojärjestelmien tietoturvaa ja voidaan ryhtyä sellaisiin toimiin, joilla vahingot on mahdollista estää tai rajoittaa niin hyvin kuin mahdollista. Vastuullisen ilmoittamistavan mukaisesti, ennen kuin haavoittuvuus julkistetaan, asianosaisille annetaan riittävästi aikaa valmistautua tilanteen hoitamiseen niin, että suurilta vahingoilta vältytään. Keskeistä vastuullisessa ilmoittamistavassa on, että löytyneet haavoittuvuudet voidaan korjata ja näin myös tietojärjestelmien suojausta voidaan parantaa. Erityisen tärkeää on myös, että asianomaiset osapuolet noudattavat samoja ilmoittamista ja käsittelyä koskevia tapoja. Vastuullista käytäntöä noudattava osapuoli voi esimerkiksi olla ilmoittamatta haavoittuvuudesta, jos ennalta sovittuja sääntöjä ei noudateta. Haavoittuvuustietojen vastuullinen ilmoittaminen koskee ensisijaisesti haavoittuvuuden löytäjää ja haavoittuvan ohjelmiston valmistajaa. Näiden kahden osapuolen viestintäketjun tulisi olla mahdollisimman suora. Haavoittuvuuden löytäjä ja ohjelmistovalmistaja voivat kuitenkin yhdessä päättää, että haavoittuvuudesta ilmoitetaan kyberturvallisuusviranomaiselle tai muille ICT-tietoturvayhteisön toimijoille. Tapaa kannattaa harkita erityisesti silloin, kun haavoittuvuus ei ole tunnettu. Näin toimimalla voidaan estää tai rajoittaa haavoittuvuuden suoria tai välillisiä haittavaikutuksia. Luvussa 3 käsitellään tarkemmin eri osapuolten vastuita. Luvussa 4 esitellään vastuullisen haavoittuvuuksien käsittelyn osatekijät. 5 Vastuullinen haavoittuvuuksien käsittely

Luku 3 Vastuut Vastuullisen haavoittuvuuksien käsittelyn tarkoituksena on vähentää tietojärjestelmien haavoittuvuuksia niin, että prosessiin voivat osallistua sekä haavoittuvuuden löytäjä että haavoittuneen järjestelmän valmistaja. Vastuullisen haavoittuvuuksien käsittelyn noudattaminen ei kuitenkaan poista muita voimassa olevia vastuita ja velvoitteita. Kaikilla, jotka ovat osana vastuullista haavoittuvuuskäsittelyä, on oma tehtävänsä. Kunkin toimijan velvollisuudet kuvataan seuraavassa lyhyesti. Tietojärjestelmän valmistaja Valmistaja on ensisijaisesti vastuussa oman järjestelmänsä tietoturvasta. Näin valmistajan on myös mietittävä tarkkaan, kuinka se reagoi, jos haavoittuvuus julkaistaan. Organisaatio voi ohjeistuksen perusteella noudattaa avointa haavoittuvuustietojen vastuullista ilmoittamiskäytäntöä. Haavoittuvuuden löytäjä Vastuullisen haavoittuvuuksien käsittelyn toteutus on pitkälti kiinni haavoittuvuuden löytäjästä. Löytäjä on havainnut haavoittuvuuden ja haluaa julkistaa sen, jotta järjestelmän valmistaja voisi korjata haavoittuvuuden. Löytäjä vastaa omista toimistaan ja tavasta, jolla hän on havainnut haavoittuvuuden. Haavoittuvuudesta ilmoittaminen ei vapauta löytäjää rikostutkinnasta ja -syytteistä, jos hän on syyllistynyt rikokseen todentaessaan haavoittuvuuden olemassaolon. Vastuullisen ilmoittamiskäytännön mukaisesti valmistaja ja löytäjä voivat sopia, että haavoittuvuuden löytäjän tietyistä rikollisista toimista ei nosteta syytettä. Sopimuksen perusteella vastaavasti voidaan sopia myös riita-asioissa. Kyberturvallisuusviranomainen Vastuullinen haavoittuvuuskäsittely koskee ensisijaisesti haavoittuneen tietojärjestelmän valmistaja. Valmistaja voi säädellä tietojen ilmoittamista omilla käytännöillään. Silti myös kyberturvallisuusviranomaisen on toiminnallaan edistettävä vastuullista haavoittuvuustietojen ilmoittamista. Kyberturvallisuusviranomaisen tehtävänä on välittää ICThaavoittuvuuksia koskevia tietoja valtionhallinnolle ja tärkeimmille toimialoille. Haavoittuvuuden korjauksesta vastaavat voivat tarpeen mukaan pyytää kyberturvallisuusviranomaista ilmoittamaan muille löydetyistä haavoittuvuuksista. Jos haavoittuvuudesta ilmoitetaan suoraan kyberturvallisuusviranomaiselle, se yrittää luoda suoran yhteyden haavoittuvuuden löytäjän ja haavoittuneen järjestelmän valmistajan välille. 6 Vastuullinen haavoittuvuuksien käsittely

Luku 4 Vastuullisen haavoittuvuuksien käsittelyn osapuolet Seuraavassa on lueteltu vastuullisen haavoittuvuuksien käsittelyn perusteet, joita osapuolten tulisi noudattaa. Perusteet on jaoteltu sen mukaan, minkä katsotaan olevan oleellisinta valmistajan, haavoittuvuuden löytäjän ja kyberturvallisuusviranomaisen näkökulmasta. 4.1 Valmistaja Vastuullinen haavoittuvuuksien käsittely lähtee pääasiassa valmistajasta, joka omistaa haavoittuneen tietojärjestelmän tai siitä, joka myy haavoittuvaa tuotetta. Valmistajalla on ensisijainen vastuu järjestelmän tai tuotteen tietoturvasta. Olennaista on, että se voi halutessaan noudattaa vastuullisen haavoittuvuuksien käsittelyn käytäntöjä, mikä antaa muun sille mahdollisuuden ratkaista haavoittuvuuksien aiheuttamia ongelmia tehokkaasti. Laatimalla oman vastuullisen käsittelykäytäntönsä valmistaja voi tehdä selväksi, miten se käsittelee haavoittuvuustietoja. On kannattavaa laatia oma vastuullinen käytäntönsä ja julkaista se myös muiden saataville. Seuraavassa esimerkkejä toimivista toteutustavoista: Valmistaja varmistaa, että kynnys ilmoittaa haavoittuvuuksista on matala. Ilmoittamistapa voidaan vakioida esimerkiksi ilmoitusten tekemiseen tarkoitetulla verkkolomakkeella. Kannattaa myös harkita, voisiko se hyväksyä haavoittuvuuksista ilmoittamisen nimettömänä. Valmistaja on varautunut ja ylläpitää resursseja, joiden avulla se kykenee reagoimaan asianmukaisesti mahdollisiin ilmoituksiin. Valmistaja vastaanottaa ilmoituksen haavoittuvuudesta ja varmistaa, että ilmoitus välitetään mahdollisimman nopeasti eteenpäin niille asiantuntijoille, jotka pystyvät parhaiten arvioimaan ilmoituksen ja reagoimaan siihen. Valmistaja lähettää haavoittuvuuden löytäjälle vahvistuksen ilmoituksen vastaanottamisesta. Vahvistus olisi hyvä lähettää sähköisesti allekirjoitettuna, mikä korostaisi asian tärkeyttä. Tämän jälkeen valmistaja ja löytäjä ovat yhteydessä toisiinsa ja keskustelevat jatkotoimista. Jos haavoittuvuus on tarkoitus julkistaa, valmistaja asettaa julkistuspäivämäärän haavoittuvuuden löytäjän kanssa käytyjen neuvottelujen perusteella. Ohjelmistohaavoittuvuuksien yhteydessä kohtuullinen odotusaika on yleensä 60 päivää. Laitteistohaavoittuvuuksien korjaaminen on huomattavasti vaikeampaa, siksi niihin kohdistuvien haavoittuvuuksien julkaisuissa kohtuullinen odotusaika on kuusi kuukautta. Osapuolet voivat keskenään neuvotella ja sopia, että julkistusta on järkevää nopeuttaa tai pitkittää, etenkin jos monet järjestelmät ovat riippuvaisia esimerkiksi haavoittuneesta ohjelmistosta. Jos haavoittuvuuden korjaaminen on vaikeaa, mahdotonta tai siitä aiheutuu merkittäviä kustannuksia, löytäjä ja valmistaja voivat päättää olla julkistamatta haavoittuvuutta. Valmistaja pitää haavoittuvuuden löytäjän ja mahdolliset muut asianosaiset ajan tasalla haavoittuvuuden korjaamistilanteesta. Valmistaja voi antaa haavoittuvuuden löytäjälle tunnustuksen ja esittää tälle julkisen kiitoksen, jos löytäjä näin haluaa. Haavoittuneen ICT-tuotteen tai -palvelun valmistaja voi halutessaan myöntää löytäjälle palkkion, jos tämä on noudattanut vastuullisen haavoittuvuustiedottamisen periaatteita. Palkkion suuruus voi perustua esimerkiksi julkistettujen haavoittuvuustietojen laatuun. Valmistaja voi sopia löytäjän kanssa, tiedotetaanko haavoittuvuudesta koko ICT-yhteisöä, jos on todennäköistä, että haavoittuvuus löytyy esimerkiksi myös monen muun valmistajan tuotteista. Valmistaja ilmaisee vastuullisen haavoittuvuuksien käsittelyn käytännöissään, että se ei ryhdy oikeustoimiin, jos haavoittuvuuden löytäjä toimii vastuullisen käytännön mukaisesti. 7 Vastuullinen haavoittuvuuksien käsittely

4.2 Haavoittuvuuden löytäjä Vastuullisen haavoittuvuuksien käsittelyn toteutus riippuu löytäjästä, joka havainnut haavoittuvuuden tietystä tietojärjestelmästä. Löytäjä haluaa parantaa haavoittuneen järjestelmän tietoturvaa julkistamalla haavoittuvuuden. Näin myös valmistajalla on mahdollisuus korjata järjestelmänsä. Löytäjän tulisi tiedostaa roolinsa ja ilmoittaa haavoittuvuudesta vastuullisen käsittelykäytännön mukaisesti. Löytäjän näkökulmasta vastuullisen ilmoittamiskäytännön tulee perustua seuraaviin osatekijöihin: Löytäjä on vastuussa omista toimistaan. Hänen on ilmoitettava haavoittuvuudesta ensin haavoittuvuuden kohteena olevan järjestelmän valmistajalle. Löytäjän on ilmoitettava haavoittuvuudesta niin nopeasti kuin vain mahdollista. Näin vähennetään riskiä, että vihamieliset toimijat ehtisivät löytää haavoittuvuuden ja käyttää sitä hyväkseen. 4.3 Kyberturvallisuusviranomainen Vastuullinen haavoittuvuuksien käsittely ja niistä ilmoittaminen on pääasiassa järjestelmävalmistajien ja haavoittuvuuksien löytäjien välinen asia. Siitä huolimatta kyberturvallisuusviranomaisen tehtävänä on edistää vastuullisen haavoittuvuuksien käsittelyn käytäntöjä. Kyberturvallisuusviranomainen voi myös osallistua haavoittuvuuden löytäjän ja haavoittuneen järjestelmän valmistajan neuvotteluihin, kun haavoittuvuudesta jaetaan tietoa sen kohderyhmälle haavoittuvuuden aiheuttamien tietoturvariskien vähentämiseksi. Jos haavoittuvuuden löytäjä ottaa yhteyttä suoraan kyberturvallisuusviranomaiseen, se yrittää luoda yhteyden löytäjän ja valmistajan välille. Neuvoteltuaan järjestelmävalmistajien ja haavoittuvuuksien löytäjien kanssa kyberturvallisuusviranomainen välittää käytettävissä olevat haavoittuvuutta koskevat tekniset tiedot ICT-yhteisölle. On mahdollista esimerkiksi julkaista vain osa haavoittuvuustiedoista, julkaista haavoittuvuudesta artikkeli tai tiedote, jota on mahdollista päivittää tai ilmoittaa haavoittuvuudesta suoraan valmistajalle. Haavoittuvuusilmoitus on kuitenkin tehtävä luottamuksellisesti, jotta ulkopuoliset eivät pääsisi käsiksi kyseiseen tietoon. Aina, kun ilmoitus tehdään kyberturvallisuusviranomaiselle, se pyrkii luomaan yhteyden haavoittuvuuden löytäjän ja valmistajan välille. Löytäjä ei saa käyttää esimerkiksi seuraavia toimintatapoja: pääsyn hankkiminen järjestelmään käyttäjiä manipuloimalla oman takaportin luonti tietojärjestelmään haavoittuvuuden havainnollistamistarkoituksessa; voi aiheuttaa lisää vahinkoa ja aiheuttaa tarpeettomia tietoturvariskejä haavoittuvuuden hyödyntäminen tavalla, joka on suhteeton vain haavoittuvuuden olemassaolon varmistamisen vuoksi järjestelmän tietojen kopiointi, muokkaaminen tai poistaminen, sen sijaan järjestelmästä voidaan tehdä hakemistoluettelo järjestelmän muuttaminen järjestelmän toistuva käyttö tai käyttömahdollisuudesta kertominen muille pääsyn hankkiminen järjestelmään väsytysmenetelmällä, erilaisia salasanoja toistuvasti kokeilemalla, mikä ei varsinaisesti ole haavoittuvuuden hyödyntämistä. Aina, kun kyberturvallisuusviranomaiselle ilmoitetaan haavoittuvuuksista, viranomainen tiedottaa asiasta valtionhallinnon organisaatioille ja niille toimialoille, joita haavoittuvuus koskee. Lopuksi löytäjä ja järjestelmän valmistaja voivat yhdessä ilmoittaa haavoittuvuudesta laajemmalle ICT-yhteisölle. Tämä voi olla oikea toimintatapa etenkin silloin, jos kyseessä on uusi haavoittuvuus ja on todennäköistä, että haavoittuvuutta esiintyy muissakin järjestelmissä tai muilla valmistajilla. Tällaisessa tapauksessa voidaan olla yhteydessä kyberturvallisuusviranomaiseen, joka puolestaan välittää tietoa asiasta valtionhallinnolle ja tärkeimmille toimialoille. 8 Vastuullinen haavoittuvuuksien käsittely

Viestintävirasto Kyberturvallisuuskeskus PL 313, 00181 Helsinki cert@ficora.fi Kansallinen kyberturvallisuuskeskus (Nationaal Cyber Security Centrum) Turvallisuus- ja oikeusministeriö (Ministerie van Veiligheid en Justitie)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute