Process för samordnad publicering av sårbarhetsinformation (CVD) | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Process för samordnad publicering av sårbarhetsinformation (CVD)

Processen för samordnad publicering av sårbarhetsinformation är en rutin där information om sårbarheter meddelas till den som tillverkar eller tillhandahåller eventuella sårbara produkter och tjänster. Med hjälp av informationen kan mottagaren i bästa fall upptäcka sårbarheten och korrigera den innan detaljerad information om sårbarheten blir allmänt känd.

Cybersäkerhetscentret vid Traficom är en nationell informationssäkerhetsmyndighet vars uppgift är att samla in information om informationssäkerhetsincidenter och hot om sådana, informera om informationssäkerhetshot och producera en nationell lägesbild av cybersäkerheten.

Programvarusårbarheter utgör ett allvarligt hot mot samhällets normala funktion. Sårbarheter upptäcks till exempel vid testning av system, informationssäkerhetsundersökningar eller i samband med normal användning av system. Fynden ska hanteras på ett ansvarsfullt sätt, eftersom de kan ha långtgående skadliga verkningar för människors integritet, egendom, organisationers affärsverksamhet och till och med den nationella säkerheten.

Mål

Cybersäkerhetscentret samordnar en kontrollerad publicering av sårbarheter. Detta arbete utförs i samarbete mellan dem som upptäcker sårbarheter, programtillverkarna och de slutanvändare som påverkas av sårbarheten. Målet med sårbarhetskoordinationen är att se till att alla, även produktens slutanvändare, får aktuell information om sårbarheten och om ändamålsenlig korrigering av sårbarheten jämte uppdateringar.

Den som upptäcker en sårbarhet bör vara medveten om att programtillverkarnas mognadsgrad i fråga om cybersäkerhet varierar. Processen för att hantera en sårbarhet kan vara arbetsdryg och tidskrävande för en del tillverkare. Som sårbarhetskoordinator främjar vi ansvarsfull hantering av information om sårbarheter i alla skeden av deras livscykel. Cybersäkerhetscentrets mål är att alla anmälda sårbarheter korrigeras eller att effekterna av dem lindras.

Sårbarhetskoordination

Koordinationsprocessen inleds i allmänhet när sårbarheten rapporteras till Cybersäkerhetscentret. Anmälan kan göras till exempel personligen, i organisationens namn eller anonymt. I typiska fall framskrider processen för sårbarhetskoordinationen enligt följande:

  • Cybersäkerhetscentret analyserar den anmälda sårbarheten och kontrollerar de tekniska detaljerna hos anmälaren.
  • Parterna kommer i anslutning till fallet överens om information, tidtabeller och processens övriga detaljer.
  • Cybersäkerhetscentret inleder en diskussion med produktens tillverkare eller tjänsteleverantören.

I koordinationen prioriteras sådana sårbarheter som påverkar flera programtillverkare och flera produkter. Bra exempel på detta är sårbarheter som påverkar en stor användarkrets eller kritisk infrastruktur.

Cybersäkerhetscentret samarbetar med sina kollegor utomlands när det gäller sårbarheter som har gränsöverskridande konsekvenser. Samarbetet med EU-medlemsstaterna är särskilt aktivt.

Publiceringstidtabell

Tidtabellen för publiceringen av sårbarhetsinformation som Cybersäkerhetscentret fått kännedom om förhandlas med programvarutillverkarna. Det finns inte nödvändigtvis något att publicera i alla sårbarhetsfall. I dessa fall korrigerar den ansvariga instansen sårbarheten, informerar sina kunder och tackar den som upptäckt sårbarheten. Om det finns behov av att informera offentligt om sårbarheten kommer parterna gemensamt överens om hur det görs. Cybersäkerhetscentret publicerar inte uppgifter om metoder för utnyttjande av sårbarheter.

Kontaktuppgifter

Cybersäkerhetscentret använder e-postadressen vulncoord@traficom.fi i kommunikationen om sårbarheter.

PGP-nycklar till e-postadressen finns här
Sidan är senast uppdaterad