Tietoturva Nyt!
Kuinka yrityksen kannattaa suhtautua valkohattujen yhteydenottoihin? Tietoturvaongelmista ilmoittavaa valkohattuhakkeria ei tarvitse säikähtää. Lue vinkkimme sujuvaan yhteistyöhön ja jatkotoimiin.
Sait yhteydenoton tietoturvaongelmasta tai haavoittuvuudesta. Mistä on kyse? Ensimmäiseksi, ota rauhallisesti, sillä hätiköimällä tilanne ei ratkea. Tunnet ehkä lievää ärtymystä siitä, kuinka joku kehtaa kräkkeröidä juuri teidän järjestelmiänne. Tärkeintä on, että saitte tiedon yritystänne koskevasta tietoturvaongelmasta. Tiedon takana on valkohattu, ystävällinen tietoturvatutkija, joka haluaa auttaa teitä ja tehdä maailmastamme turvallisemman.
Valkohatut haluavat auttaa ja tehdä yhteistyötä
Valkohattuhakkeri tarkoittaa eettisiä, hyväntahtoisia ja lakia noudattavia tietoturva-ammattilaisia, -tutkijoita ja -harrastajia. He auttavat yrityksiä ja näiden asiakkaita vastuullisesti ilmoittamalla löydöksistään suoraan yrityksiin.
Vastakohtana ovat mustahatut, joiksi kutsutaan henkilöitä ja ryhmittymiä, jotka etsivät haavoittuvuuksia tai murrettavia palveluita omiksi kyberaseikseen tai hämärämarkkinoilla myytäviksi. Mustahattuiset eivät kerro löydöksistään vapaaehtoisesti.
Peräkylä tai pääkaupunki, maanviljelijä tai growth hacker - tämä koskee sinua
Jokaisen yrityksen, joka tuottaa tai käyttää digitaalisia palveluita, tulee hyväksyä se tosiasia, että palveluissa, järjestelmissä ja laitteissa on tietoturvaongelmia - nyt ja jatkossa.
Turvallisuuspuutteet voivat liittyä aina verkkolaitteista ohjelmistoihin tai lymytä itse palvelussa taikka sen käyttötavassa. Vakavuudeltaan ongelmat voivat olla kaikkea vähäpätöisestä hengenvaaralliseen.
Jos palvelu, laite tai ohjelmisto on julkisesti saatavilla, joku tulee löytämään siitä haavoittuvuuden.
Päätään ei siis pidä työntää puskaan ja toivoa, ettei kukaan huomaa. Toivoa voi ainoastaan, että haavoittuvuuden löytää valkohattu, joka hoitaa sen vastuullisesti korjattavaksi.
Tee yhteydenotosta helpompaa - voit saada ilmaista apua
Yleisimmät haasteet tietoturvailmoitusten tekemisesssä liittyvät yrityksen saavutettavuuteen ja viestintään. Tärkeintä olisikin, että yrityksen yhteystiedot löytyisivät helposti – myös englanniksi. Saamme Kyberturvallisuuskeskukseen paljon esimerkiksi ulkomaisia yhteydenottoja, joissa kysellään, mitä tarkoittaa yrityksen verkkosivuilla mainittu "etunimi piste sukunimi".
Älä pure ruokkivaa kättä
Ensimmäinen valkohatun kontaktipiste on yleensä yrityksen asiakaspalvelu, joka on tottunut käsittelemään yrityksen omaan toimialaan liittyviä yhteydenottoja. Huolehdittehan asiakaspalvelun ohjeistuksesta, jotta tietoturvailmoitukset päätyvät oikealle henkilölle.
Jos valkohattu ilmoittaa yritykselle tietomurron uhkasta, yrityksen vastaus voi olla suhteettoman jyrkkä, ääriesimerkkinä oikeustoimet. Ongelma on kuitenkin olemassa, se on syytä hyväksyä ja todeta. Tilanne näyttäytyy pian paremmassa valossa, kun muistatte, että nyt olette saneet tiedon olemassa olevasta haavoittuvuudesta, ennen kuin mitään vakavaa on tapahtunut.
Selvitä kokonaiskuva ja seuraamukset
Jotta valkohatun löydöksen vaikutukset voi ymmärtää, yrityksellä pitää olla hyvä yleiskuva liiketoiminnastaan ja toimintansa riippuvuuksista. Jos saatte ilmoituksen tiettyyn palvelimeen tai palveluun liittyen, ensimmäiseksi pitää selvittää, miten tämä vaikuttaa esimerkiksi tietojen, palveluiden tai jopa ihmisten turvallisuuteen.
Valkohatulla – oli tämä Suomesta tai ulkomailta – ei välttämättä ole toimialakohtaista ymmärrystä esimerkiksi erilaisista vaatimuksista, säädöksistä tai sanktioista. Usein valkohatun haavoittuvuusilmoitus sisältää vähintään teknisen kuvauksen haavoittuvuudesta, mutta vastuu haavoittuvuuden kokonaisvaikutusten arvioimisesta on yrityksellä itsellään.
Pidä osapuolet informoituina
Haavoittuvuuden vaikutusten arvioinnin jälkeen yrityksen tulee tehdä riskienhallintapäätös jatkotoimista. Yritys voi todeta, ettei haavoittuvuus merkittävästi vaikuta liiketoimintaan, ja päättää olla tekemättä mitään. Tällaista ratkaisua intohimoisesti tietoturvaan suhtautuvien valko- tai harmaahattujen on vaikea hyväksyä.
Valkohattu voi myös ihmetellä, mikä korjaamisessa voi kestää, etenkin jos kyseeessä ei ole teknisesti vaativa muutos. Jos yrityksen palvelu on laajasti käytetty ja suosittu, korjauksen jakelu tai tuotantoon vienti voi viedä paljon aikaa.
On kohteliasta pitää ilmoittaja informoituna toimien etenemisestä tai viivästyksistä, koska hän on hyvää hyvyyttään ongelmasta yritykselle kertonut.
Jos palvelun käyttäjät tai heidän tietonsa ovat vaarantuneet, tulee heitäkin informoida tapahtuneesta avoimesti ja vastuullisesti.
Yritysten muistilista koordinaatioon:
- Helpota koordinaatiota: yhteystiedot ja pelisäännöt helposti saataville.
- Huolehdi, että viesti siirtyy organisaation sisällä.
- Ymmärrä kokonaisvaikutus, tee päätös toimista ja suorita ne.
- Kommunikoi aktiivisesti ilmoittajan ja vaarantuneiden sidosryhmien kanssa.
- Muista meidät! Kyberturvallisuuskeskus auttaa koordinaatiossa.
Kyberturvallisuuskeskus palvelee
Autamme mielellämme valkohattuja ja yrityksiä löytämään toisensa. Meidän kauttamme voit ilmoittaa sekä haavoittuvuuksista että muista tietoturvapoikkeamista.
Eri alojen asiantuntijaverkostomme on laaja. Kauttamme tavoitat muun muassa energiateollisuuden ja teleoperaattori-alan asiantuntijoita. Tarvittaessa löydämme nopeasti oikeat avainhenkilöt, joille viesti tulee välittää.
- Kyberturvallisuuskeskus: Ilmoitus haavoittuvuudesta (Ulkoinen linkki)
- Kyberturvallisuuskeskus: Ilmoitus muusta tietoturvapoikkeamasta (Ulkoinen linkki)
- Meitä voi lähestyä myös Twitterissä (Ulkoinen linkki)
Lue myös muut Valkohattuhakkerit-sarjan jutut:
Tuore valkohattu Toni Ruhanen löysi tietoturvaongelmia julkisista palveluista alkuvuonna 2019. Kyberturvallisuuskeskuksen avulla Tonin löydökset saatiin palveluista vastaavien tietoon.
Toni Ruhanen ja muut valkohatut kuuluvat hyvisjengiin (Ulkoinen linkki)
Kun valkohatut ja yritykset löytävät toisensa helpommin, myös haavoittuvuudet saadaan korjattua nopeammin.
Vinkkejä valkohatuille parempaan ja helpompaan yhteistyöhön (Ulkoinen linkki)
Bug bounty -ohjelma on helppo tapa saada keskitetysti tietoa omien järjestelmien ja palveluiden mahdollisista tietoturvapuutteista. Yritykselle ohjelma voi antaa mahdollisuuden todelliseen avoimuuteen ja suunnannäyttäjän asemaan.
Bug Bounty -ohjelmien avulla tietoturvaongelmat voi kääntää PR-voitoiksi (Ulkoinen linkki)
Riskienhallinnan perusperiaatteiden ymmärtäminen on tärkeää yrityksille ja hyödyllistä myös valkohatuille.
Riskienhallinnan (hyvin) lyhyt oppimäärä (Ulkoinen linkki)