Koordinoitu haavoittuvuuksien julkaisuprosessi (CVD, coordinated vulnerability disclosure) on toimintatapa, jossa haavoittuvuuksista ilmoitetaan mahdollisesti haavoittuvien tuotteiden ja palvelujen valmistajalle tai tarjoajalle. Ilmoituksen avulla vastaanottaja voi parhaassa tapauksessa havaita haavoittuvuuden ja korjata sen ennen kuin yksityiskohtaiset haavoittuvuustiedot tulevat julkisiksi.
Traficomin Kyberturvallisuuskeskus on kansallinen tietoturvaviranomainen, jonka tehtävänä on kerätä tietoa tietoturvaloukkauksista ja niiden uhista, tiedottaa tietoturvauhista ja tuottaa kansallista kyberturvallisuuden tilannekuvaa.
Ohjelmistohaavoittuvuudet ovat vakava uhka yhteiskunnan normaalille toiminnalle. Haavoittuvuuksia havaitaan esimerkiksi järjestelmiä testatessa, tietoturvatutkimuksessa tai järjestelmien tavallisen käytön yhteydessä. Löydöksiä täytyy käsitellä vastuullisesti, koska niillä voi olla kauaskantoisia haittavaikutuksia ihmisten yksityisyyteen, omaisuuteen ja liiketoimintaan, ja jopa kansalliseen turvallisuuteen.
Tavoitteet
Kyberturvallisuuskeskus koordinoi haavoittuvuuksien hallittua julkistamista. Tämä työ tehdään yhteistyössä haavoittuvuuksien löytäjien, haavoittuvuuden vaikutuspiirissä olevien ohjelmistovalmistajien ja loppukäyttäjien välillä. Haavoittuvuuskoordinoinnin tavoitteena on huolehtia, että tieto haavoittuvuudesta ja sen asianmukaisesta korjauksesta päivityksineen päätyy ajantasaisesti kaikille, myös tuotteen loppukäyttäjille.
Haavoittuvuuden löytäjän on hyvä tiedostaa, että ohjelmistovalmistajien kyberturvallisuuden kypsyysaste vaihtelee. Haavoittuvuuden käsittelyyn liittyvä prosessi voi olla osalle valmistajista työläs ja aikaa vievä. Haavoittuvuuskoordinoijana edistämme haavoittuvuustietojen vastuullista käsittelyä haavoittuvuuden elinkaaren kaikissa vaiheissa. Kyberturvallisuuskeskuksen tavoitteena on, että kaikki ilmoitetut haavoittuvuudet korjataan tai niiden vaikutuksia onnistutaan lieventämään.
Haavoittuvuuskoordinaatio
Koordinointiprosessi alkaa yleensä, kun haavoittuvuus raportoidaan Kyberturvallisuuskeskukselle. Ilmoituksen voi tehdä esimerkiksi henkilökohtaisesti, organisaation nimissä tai nimettömästi. Tyypillisessä tapauksessa haavoittuvuuskoordinaatioprosessi etenee seuraavasti:
- Kyberturvallisuuskeskus analysoi ilmoitetun haavoittuvuuden ja varmistaa tekniset yksityiskohdat ilmoittajan kanssa.
- Osapuolet sopivat tapaukseen liittyvästä tiedottamisesta, tavoiteaikatauluista ja muista prosessin yksityiskohdista.
- Kyberturvallisuuskeskus aloittaa keskustelun tuotteen valmistajan tai palvelun tarjoajan kanssa.
Koordinoinnissa priorisoidaan tärkeimmiksi ne haavoittuvuudet, jotka vaikuttavat moniin ohjelmistovalmistajiin ja useisiin tuotteisiin. Hyviä esimerkkejä tästä ovat laajaan käyttäjäkuntaan tai kriittiseen infrastruktuuriin vaikuttavat haavoittuvuudet.
Kyberturvallisuuskeskus tekee yhteistyötä kollegatahojensa kanssa, kun kyse on haavoittuvuudesta, jolla on rajat ylittäviä vaikutuksia. Yhteistyö EU-jäsenvaltioiden kanssa on erityisen aktiivista.
Julkistamisaikataulu
Kyberturvallisuuskeskuksen tietoon saatettujen haavoittuvuuksien julkistamisaikataulusta neuvotellaan ohjelmistovalmistajien kanssa. Kaikissa haavoittuvuustapauksissa ei välttämättä ole mitään julkaistavaa. Näissä tapauksissa vastuutaho korjaa haavoittuvuuden, informoi asiakkaittaan ja kiittää haavoittuvuuden löytäjää. Mikäli haavoittuvuudesta on tarve tiedottaa julkisesti, sen julkaisusta sovitaan yhteisesti osapuolien kesken. Kyberturvallisuuskeskus ei julkaise tietoja haavoittuvuuksien hyväksikäyttömenetelmistä.
Yhteystiedot
Kyberturvallisuuskeskus käyttää haavoittuvuuksiin liittyvässä viestinnässä sähköpostiosoitetta vulncoord@traficom.fi .