Tietoturva Nyt!
Haavoittuvuusjulkaisujemme neljännessä osassa esittelemme Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatiota. Tutustu toimintaamme esimerkkitapausten kautta.
Haavoittuvuuskoordinaation tehtävänä on avustaa haavoittuvuuden tai vakavan ohjelmistovirheen löytäjää parempaan yhteistyöhön ohjelmistovalmistajien ja järjestelmäintegraattoreiden kanssa. Vastaanotamme ilmoituksia haavoittuvuuksista esimerkiksi erilaisissa ohjelmissa ja verkkosivuilla. Tavoitteena on, että tieto haavoittuvuudesta ja sen asianmukaisesta korjauksesta päätyy tarvittaville tahoille, myös tuotteen loppukäyttäjille.
Löydöksiä täytyy käsitellä vastuullisesti, koska niillä voi olla kauaskantoisia haittavaikutuksia ihmisten yksityisyyteen, omaisuuteen, organisaatioiden liiketoimintaan ja jopa kansalliseen turvallisuuteen. Haavoittuvuuskoordinoijana edistämme haavoittuvuustietojen vastuullista käsittelyä haavoittuvuuden elinkaaren kaikissa vaiheissa. Vakavien ja laajasti vaikuttavien haavoittuvuuksien kohdalla kirjoitamme haavoittuvuusartikkeleita .
Saamme haavoittuvuuksia tietoomme myös etuajassa, jo ennen niiden virallista julkaisua. Tällaisissa tapauksissa kartoitamme yleistä tilannekuvaa Suomessa haavoittuvuuden suhteen. Jaamme tietoa haavoittuvuuksista käsittelyluokitusten perusteella.
Seuraavat esimerkit ovat yleisiä kuvauksia ilmoituksista, joita vastaanotamme. Ilmoita meille haavoittuvuudesta tältä sivulta löytyvällä lomakkeella (Ulkoinen linkki). Voit myös tilata päivittäisen uutiskirjeemme ja haavoittuvuuskoosteen .
Esimerkki 1: Tutkija on havainnut tietokantahaavoittuvuuden verkkopalvelussa
Haavoittuvuus mahdollistaa yksinkertaisella kyselyllä käyttäjätietojen varastamisen julkisesta palvelusta, mikäli käyttäjätunnus- ja salasanapari on hyökkääjän tiedossa tai murrettavissa. Tilanne on kriittinen, koska kuka tahansa voi havaita haavoittuvuuden erilaisilla skannereilla ja yrittää saada tietoja tietokannasta.
Tutkija ei kuitenkaan halua ilmoittaa haavoittuvuudesta itse palveluntuottajalle, vaan ilmoittaa asiasta Kyberturvallisuuskeskuksen verkkosivujen lomakkeen avulla.
Kyberturvallisuuskeskus toteaa haavoittuvuuden olevan kriittinen ja ilmoittaa asiasta välittömästi organisaatioon. Kiireellisissä tilanteissa myös puhelu tietoturvasta vastaavalle henkilölle saattaa parantaa ymmärrystä haavoittuvuuden vakavuudesta ja lisätä reagointinopeutta organisaatiossa.
Tämänkaltaisissa haavoittuvuuksissa painotamme luottamuksellisuutta. On ensiarvoisen tärkeää, että haavoittuvuuden löytänyt taho ei kerro havainnostaan muille kuin viranomaisille tai organisaatiolle, jota haavoittuvuus koskee.
Esimerkki 2: Organisaatio ilmoittaa tarvitsevansa koordinaatioapua
Yritys on havainnut itse, tai saanut ulkopuoliselta taholta ilmoituksen tuotteessaan olevasta haavoittuvuudesta. Organisaatio on ensimmäistä kertaa tällaisen asian kanssa tekemisissä ja kysyy apua Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatiosta.
Aluksi kerrataan tilanne, keskustellaan millaisesta haavoittuvuudesta on kysymys ja pohditaan mahdollisia vaikutuksia. Millaisiin palveluihin haavoittuvuus vaikuttaa? Onko tapauksella yhteiskunnallisia vaikutuksia? Onko jo tässä vaiheessa tarve hakea haavoittuvuudelle yksilöivä tunniste, eli CVE (Common Vulnerabilities and Exposures)? CVE-tunnisteen myöntää voittoa tavoittelematon järjestö MITRE. Voit havaita myös Kyberturvallisuuskeskuksen haavatiedotteista CVE-tunnisteita, joita yritykset ovat ilmoittaneet haavoittuvuuksiensa yhteydessä. Ne helpottavat yksilöimään haavoittuvuuksia ja antavat CVSS-pisteet, joiden avulla haavoittuvuuden merkittävyyttä voidaan kuvailla. Haavoittuvuuspisteiden laskentaa voit kokeilla esimerkiksi Yhdysvaltalaisen NIST-organisaation sivulla (Ulkoinen linkki).
Haavoittuvuudesta viestiminen on tärkeä osa sen koordinaatiota. Miten yritys tulee haavoittuvuudesta julki? Onko mahdollista selvittää, kuinka paljon haavoittuvaa tuotetta on käytössä? Onko asiakkaille mahdollista kontaktilistaa käytettävissä vai tapahtuuko tiedottaminen esimerkiksi verkkosivujen ja sosiaalisen median kautta? Tässä myös Kyberturvallisuuskeskus voi auttaa viraston normaalien toimintatapojen mukaisesti tiedottamalla esimerkiksi verkkosivuillaan, sosiaalisessa mediassa, kansainvälisissä verkostoissa ja lähettämällä sidosryhmille tai jollekin tietylle sektorille tiedon haavoittuvuudesta.
Haavoittuvuudesta kannattaa ilmoittaa käyttäjille mahdollisimman pian ja kertoa tilanteesta avoimesti. Mikäli teillä on tarve keskustella asiasta luottamuksellisesti - ottakaa yhteyttä Kyberturvallisuuskeskukseen!
Esimerkki 3: Tutkija ilmoittaa verkkolaitteen haavoittuvuudesta
Tutkija on hankkinut uuden WLAN-reitittimen. Suoritettujen testien perusteella hän on löytänyt reitittimestä monta haavoittuvuutta, jotka tulisi ilmoittaa laitteen valmistajalle. Tutkija ei kuitenkaan halua itse ilmoittamaan valmistajalle löydöksistään, joten hän ilmoittaa asiasta Kyberturvallisuuskeskukselle. Tällöin haavoittuvuuden koordinointi tapahtuu viranomaisen kautta, joka puolueettomana välikätenä hoitaa keskustelun ilmoittajan ja laitteen valmistajan kanssa. Verkkolaitehaavoittuvuudet voivat koskettaa laajasti myös käyttäjiä, joten löydetty haavoittuvuus tulisi pitää vain löytäjän, viranomaisen ja laitevalmistajan välillä.
Kyberturvallisuuskeskus tarkastelee ilmoitettua haavoittuvuutta ja tämän jälkeen ilmoittaa siitä valmistajalle. Haavoittuvuuden ilmoittaminen voi joskus olla yllättävänkin työlästä; haavoittuvuustiedot on suositeltavaa lähettää yritykselle mahdollisimman turvallisesti ja joskus yhteystietojen kaivaminen on aikaa vievää. Kyberturvallisuuskeskuksen haavoittuvuuskoordinointi vapauttaa tutkijan aikaa koordinoinnilta, eikä hänen tarvitse hoitaa kontaktointia. Tarvittaessa laitevalmistaja saattaa kysyä tarkentavia kysymyksiä ilmoitetusta haavoittuvuudesta. Näitä ovat esimerkiksi tutkinnassa käytetty käyttöjärjestelmä, versiot, ajankohdat ja testauksessa käytetty kokoonpano.
Useimmat nykyaikaiset organisaatiot ilmoittavat heti ottavansa ilmoitetun haavoittuvuuden työn alle, ja mikäli mahdollista, he ilmoittavat myös korjaavansa asian esimerkiksi 30:n päivän sisällä.
Oman lisänsä haavoittuvuuden ilmoittamiseen voi tuoda esimerkiksi ulkomainen laitevalmistaja, jonka yhteystiedot ovat kiven alla. Tällaisissa tapauksissa Kyberturvallisuuskeskuksen on mahdollista keskustella ulkomaisten kollegoidensa kanssa ja näin etsiä sopivia yhteystietoja viestin välittämiselle.
Esimerkki 4: Taloautomaatiolaite verkossa
Tutkija on löytänyt taloautomaatiolaitteita, joiden ei tulisi olla verkossa. Tutkija on ilmoittanut asiasta valmistajalle, mutta mitään ei ole tapahtunut. Tutkija ajattelee, että Kyberturvallisuuskeskus voisi koordinoida asiaa.
Tilanne voi olla se, että valmistajan oletusasetukset ovat heikot ja tämän vuoksi laitteeseen voi kirjautua esimerkiksi ohjekirjassa olevilla yleisillä tunnuksilla. Mikäli tämänkaltainen laite vielä kytketään internetiin, on kenellä tahansa helppo pääsy laitteeseen. Nykyään uusien laitteiden tulisi olla jo käyttöön otettaessa uniikin käyttäjätunnuksen ja salasanan takana. Mielellään vielä niin, että ensimmäisellä kerralla kirjautuessa käyttäjä pakotettaan vaihtamaan tehtaalla asetettu salasana uuteen.
Taloautomaation ja muidenkin internetiin kytkettyjen laitteiden tulisi olla hyvin suojattuja, mikäli niiden on tarve olla internetissä. Tutkimme vuosittain Suomessa olevien suojaamattomien automaatiolaitteiden määrää verkossa. Käy lukemassa vuoden 2020 kartoitus .
Haavoittuvuuskoordinaatiotilastoihin liittyvä termipankki
Kyberturvallisuuskeskukselle ilmoitetut haavoittuvuudet liittyvät usein verkkosivun tai palvelun tietosuojaan. Helposti saatavilla oleva tieto voi olla sellaista, jonka ei tulisi näkyä muille. Tällaisia tietoja ovat esimerkiksi henkilötiedot tai erilaiset asiakastiedot.
Vanhentuneet tai heikot salasanakäytännöt ovat myös toistuva ilmiö. Voi olla, että muutoin tietoturvallisesta tuotteesta löytyy kovakoodattu oletussalasana. Erilaisissa verkkopalveluissa voi myös olla parannettavaa salasanakäytännöissä esimerkiksi salasanan vaatimusten vai vaihto-ominaisuuksien osalta. IoT- ja verkkolaitteiden testaus on yleistä tietoturvatutkijoiden keskuudessa. Laitteiden turvallisuuden parantaminen on tärkeää verkossa ja kotona käytössä olevien laitteiden määrien jatkuvan kasvun vuoksi.
Kyberturvallisuuskeskus vastaanottaa vuositasolla noin 50kpl haavoittuvuuskoordinaatiotapausta. Luku sisältää sellaiset ilmoitukset, jotka ovat vaatineet toimenpiteitä Kyberturvallisuuskeskukselta. Haavoittuvuusilmoitusten luokat yleisesti: tiedoksi, pyydän apua tai koordinoitteko haavoittuvuuden käsittelyn. Ilmoituksia tulee kansalaisilta, tutkijoilta ja organisaatioilta. Vastaanotamme ilmoituksia myös anonyymeiltä ilmoittajilta.