www.kyberturvallisuuskeskus.fi
Open in
urlscan Pro
2a00:13f0:0:f501::19
Public Scan
URL:
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/haavoittuvuudet-miten-niista-ilmoitetaan-oikein
Submission: On June 14 via api from TR — Scanned from FI
Submission: On June 14 via api from TR — Scanned from FI
Form analysis 1 forms found in the DOM
<form class="Keyword__StyledSearchBarForm-sc-1rtutzm-0 ergdvA">
<div class="Keyword__StyledSearchElementWrapper-sc-1rtutzm-1 FHCpR"><label class="Input__StyledLabel-qojhgq-0 gjrfEc"><span class="Input__StyledTitle-qojhgq-1 eHixWI">Hae</span><input
class="Input__StyledInput-qojhgq-3 dBJiW Keyword__StyledSearchBarInput-sc-1rtutzm-3 GOuVJ" placeholder="Hae sivustolta" name="query" id="" value="" autocomplete="off"></label><button
class="Button__StyledButton-jbmfnf-0 dnjtLA Keyword__StyledSearchBarButton-sc-1rtutzm-4 geoyUG ButtonStyleOwner" title=""><span class="ButtonStyle__StyledButton-sc-1l19c5o-2 iRVxRd"><span class="ButtonStyle__Text-sc-1l19c5o-3 cnflpI"><span
class="Keyword__StyledSearchBarButtonText-sc-1rtutzm-8 dZaGuV">Hae</span><span class="Icon__IconWrapper-sc-1i0xueo-0 hmSuIA icon undefined" aria-hidden="true" role="presentation"><svg aria-hidden="true" focusable="false">
<use xlink:href="#icon-search"></use>
</svg></span></span></span></button></div>
</form>Text Content
Siirry pääsisältöön SUOSTUMUS: KÄVIJÄTILASTOT VALITSE HYVÄKSYTKÖ TILASTOJEN KERÄÄMISEN Keräämme sivuston käyttäjistä kävijätilastoja. Tiedot eivät ole henkilöitävissä sinuun. Tiedot tallennetaan ainoastaan Traficomin palvelimille. Lue lisää: Tietoa sivustosta KÄYTTÖTARKOITUS Tilastot auttavat meitä kehittämään palveluamme. Tilastotietoja käytetään myös osana virastoa koskevia raportteja. HyväksynEn hyväksy HaeHae Siirry hakuun Suomi Näytä sisältö * Etusivu * AjankohtaistaNäytä alavalikko * PalvelummeNäytä alavalikko * ToimintammeNäytä alavalikko * Ota yhteyttäNäytä alavalikko * Ilmoita tietoturvaloukkauksesta HAAVOITTUVUUDET - MITEN NIISTÄ ILMOITETAAN OIKEIN TIETOTURVA NYT! Päivitetty 23.03.2023 14:08 Julkaistu 27.11.2020 Haavoittuvuusjulkaisujen toisessa osassa pyrimme vastaamaan meiltä usein kysyttyihin kysymyksiin. Oletko pohtinut, minne löytämästäsi haavoittuvuudesta voi ilmoittaa? Haluatko tehdä ilmoituksen, mutta et löydä ohjeita? Olet kuullut, että haavoittuvuuksien ilmoittamisesta maksetaan, mutta et tiedä, miten prosessi toimii? Me kerromme, miten kannattaa toimia. MITÄ OVAT HAAVOITTUVUUDET? Haavoittuvuus tarkoittaa mitä tahansa heikkoutta, joka mahdollistaa vahingon toteutumisen tai jota voidaan käyttää vahingon aiheuttamiseksi. Haavoittuvuuksia voi olla esimerkiksi tietojärjestelmissä, sovelluksissa, laitteissa, prosesseissa, kotiautomaatiossa tai niitä voi aiheutua ihmisten toiminnan seurauksena. Haavoittuvuuksia julkaisevat niin laitevalmistajat, kansalaiset kuin sovelluskehittäjätkin. Ihannetilanteessa haavoittuvuudet tuodaan julkisuuteen, kun niihin on saatavilla jokin lievennyskeino (eng. "mitigation") tai korjaus (eng. "patch"). Kaikessa teknologiassa on haavoittuvuuksia ja syitä tähän on useita. Haavoittuvuus voi johtua esimerkiksi siitä, että käytössä on päivittämätöntä ja vanhaa tekniikkaa tai vähemmän kriittisiksi arvioituja heikkouksia on yhdistelty MITEN HAAVOITTUVUUKSISTA ILMOITETAAN? On olemassa prosesseja ja käytäntöjä, joiden avulla haavoittuvuuksia voi tuoda eri tahojen tietoon. Yleisesti hyvänä periaatteena pidetään, ettei heikkouksia käytetä hyväksi tarpeettomasti ongelman todentamiseksi. Tietojen lataaminen, tutkiminen tai levittäminen voi täyttää rikoksen tunnusmerkit. Päivityksistä ja niihin liittyvien prosessien toiminnasta tulee pitää huolta. Pahimmillaan liiketoiminta voi lamaantua tai lakata kokonaan, jos haavoittuvuutta aletaan käyttää hyväksi. Haavoittuvuuksia on erilaisia ja eritasoisia, niitä arvotetaan niiden hyväksikäyttömenetelmien ja useiden muiden tekijöiden mukaan esimerkiksi vakaviksi tai kriittisiksi. Kerromme toisessa artikkelissa (Ulkoinen linkki) tarkemmin haavoittuvuuksista, niiden luokittelusta ja siitä, miksi jotkut haavoittuvuudet ovat kriittisempiä kuin toiset. Oikeat ilmoitusprosessit riippuvat tahosta, jonne ilmoitusta ollaan tekemässä. Käymme seuraavaksi joitakin vaihtoehtoja läpi. MILLAISIA ILMOITUSPROSESSEJA ON? ORGANISAATIOLLA ON KÄYTÖSSÄ BUG BOUNTY -OHJELMA * Bug bounty -ohjelmaa tarjoavat organisaatiot, laitevalmistajat tai internetsivustot. * Haavoituuvuuden löytäjä voi tarjota haavoittuvuuksia bug bounty -ohjelmaan * Ilmoittajat saavat esimerkiksi rahallista kompensaatiota siitä, että haavoittuvuuksia tuodaan ilmi. * Suurilla ICT-toimijoilla, kuten Google, Microsoft, Apple ja Facebook, on omat bug bounty -ohjelmansa. Toiset taas käyttävät bug bounty -alustoja, kuten HackerOnea tai Bugcrowdia. Lue myös: Bug Bounty -ohjelmien avulla tietoturvaongelmat voi kääntää PR-voitoiksi (8/2019) Vinkkejä valkohatuille parempaan ja helpompaan yhteistyöhön ORGANISAATIO NOUDATTAA VASTUULLISEN JULKAISUN PERIAATETTA * Vastuullisen julkaisun (resposible disclosure) periaate tarkoittaa, että löytäjä tuo ilmi haavoittuvuuden kunkin tahon virallisen viestintäkanavan kautta, viipymättä ja pitämällä tietonsa luottamuksellisena. * Haavoittuvuuden testaaminen tulee lopettaa viimeistään silloin, kun haavoittuvuus on todennettu PoC:n (Proof-of-Concept) avulla. * Testaaminen on tehtävä hyviä tapoja ja käytäntöjä noudattaen niin, että palveluiden toimintaa ei häiritä. Ihmisten yksityisyyttä ei tule myöskään loukata, eikä mahdollisesti löydettyjä tietoja tuhota tai muuttaa. ORGANISAATIOLLA ON SIVUILLAAN OMA OSOITE TAI TIEDOT HAAVOITTUVUUDESTA PYYDETÄÄN OHJAAMAAN KYBERTURVALLISUUSKESKUKSEEN * Yrityksellä voi olla käytössä oma sähköpostiosoite, jonne haavoittuvuudet pyydetään ilmoittamaan. * Jotkin sivustot saattavat ohjata ilmoittamaan myös suoraan Kyberturvallisuuskeskukselle, ja se hoituu kätevästi kotisivujemme "Ilmoita haavoittuvuudesta" (Ulkoinen linkki) -kohdasta. * Mikäli organisaatio käyttää bug bounty -ohjelmaa, on hyvien tapojen mukaista, että palkkio maksetaan, vaikka asiaa hoidettaisiin Kyberturvallisuuskeskuksen kautta. ORGANISAATIOLLA ON SECURITY.TXT -TIEDOSTO, JOSTA TIEDOT OVAT NÄHTÄVISSÄ * Verkkosivuston kansiorakenteesta on joillakin sivustoilla löydettävissä tiedosto, josta löytyvät tiedot, henkilöt ja oikeat toimintatavat haavoittuvuudesta ilmoittamiseen. * Tiedosto löytyy yleensä lisäämällä verkkosivuston url-osoitteen perään: /.well-known/security.txt * esim. https://www.kyberturvallisuuskeskus.fi/.well-known/security.txt * Joissain tapauksissa sallitaan myös /security.txt-polku. Tällä taataan yhteensopivuus myös vanhempien järjestelmien kanssa. * Keväällä 2022 on julkaistu tekninen määritelmä IETF:n RFC-julkaisusarjan Informational-kategoriassa, joka määrittelee tavat security.txt:n luomiseen: * https://www.rfc-editor.org/rfc/rfc9116 ORGANISAATIOON ON VAIN VÄHÄN YHTEYSTIETOJA TAI MITKÄÄN TIEDOT EIVÄT KUULOSTA OIKEALTA * Organisaation vaihteesta saatetaan osata ohjata oikeaan suuntaan. * Ilmoituksen voi tehdä löytämälleen yhteyshenkilölle ja pyytää tätä välittämään viestiä eteenpäin. ORGANISAATIO EI KUULU MIHINKÄÄN EDELLÄ MAINITUISTA OHJELMISTA, EIKÄ SECURITY.TXT - TIEDOSTOA TAI YHTEYSTIETOJA LÖYDY * Ilmoituksen haavoittuvuudesta voi aina tehdä Kyberturvallisuuskeskukselle ja se hoituu kätevästi kotisivujemme "Ilmoita haavoittuvuudesta (Ulkoinen linkki)" -kohdasta. * Otamme vastaan ilmoituksen, etsimme oikeat kontaktit, tavat ottaa yhteyttä ja ohjeistemme tarpeen mukaan haavoittuvuuden hoitamisessa. ORGANISAATIO EI HALUA OTTAA VASTAAN TAI REAGOI NEGATIIVISESTI TIETOON HAAVOITTUVUUDESTA * Ilmoituksen haavoittuvuudesta voi tehdä luottamuksellisesti Kyberturvallisuuskeskukselle. * Ilmoittaminen hoituu kätevästi kotisivujemme "Ilmoita haavoittuvuudesta" (Ulkoinen linkki) -kohdasta. HAAVOITTUVUUDEN LÖYTÄNYT TAHO HALUAA PYSYÄ NIMETTÖMÄNÄ TAI EI HALUA HOITAA ASIAA PIDEMMÄLLE * Ilmoituksen haavoittuvuudesta voi tehdä luottamuksellisesti Kyberturvallisuuskeskukselle. * Ilmoittaminen hoituu kätevästi kotisivujemme "Ilmoita haavoittuvuudesta" (Ulkoinen linkki) -kohdasta. HAAVOITTUVUUKSIEN KORJAAMINEN Ilmoittamisen jälkeen korjaamista tai yhteydenottoa voi joutua odottamaan, vaikka organisaatio suhtautuisi ilmoitukseen hyvin. Korjaamisessa saattaa mennä aikaa ja organisaatiolla voi olla omat aikataulunsa korjausten toimeenpanolle. Ole kärsivällinen ja anna yritykselle aikaa tutkia, todentaa ja selvittää haavoittuvuuden vaikutukset sekä ottaa mahdollisesti yhteyttä asiakkaisiin. Ihannetilanteessa haavoittuvuudesta ilmoittaminen on positiivinen kokemus ja hyvä vuorovaikutustilanne kaikille osapuolille. Positiivinen kokemus auttaa uusien ilmoitusten kanssa ja luo hyvän mielikuvan yhteistyöstä. Isoilla toimijoilla, teknologiayrityksillä ja kansainvälisillä yrityksillä on monesti prosessit ja käytännöt haavoittuvuuksien hoitamiseen. Pienillä ja keskisuurilla yrityksillä ei välttämättä ole yhtä kattavat prosessit haavoittuvuuksien hoitamiseen ja ennaltaehkäisyyn. Haavoittuvuuksien ymmärtäminen saattaa aiheuttaa tietoturva-asiantuntijoillekin päänvaivaa, joten apua kannattaa tarpeen mukaan hakea, pyytää tai ostaa. MITEN HAAVOITTUVUUKSILTA VOI SUOJAUTUA? Tietoturvaa täytyy aina arvioida toimintaympäristön kontekstissa. Tämän arviointityön tueksi olemme julkaisseet erilaisia oppaita (Ulkoinen linkki) yrityksille. Lisäksi kokosimme tämän artikkelin lopuksi näistä oppaista muutamia, joista voi olla hyötyä. MITEN VOIN SUOJAUTUA HAAVOITTUVUUKSILTA TAI MISTÄ TIEDÄN MILLÄ TASOLLA TIETOTURVANI ON? Pienyritysten kyberturvallisuusopas (Ulkoinen linkki) * Pienyritysten kyberturvallisuusopas auttaa yrittäjiä suojautumaan yleisimpiä kyberuhkia vastaan. Oppaassa käsitellään muun muassa tietojenkalastelua, haittaohjelmia, päivityksiä ja käyttöoikeuksien hallintaa. Kyberturvallisuus ja yrityksen hallituksen vastuu -opas (Ulkoinen linkki) * Kyberturvallisuus ja yrityksen hallituksen vastuu -opas on suunnattu erityisesti suurten ja keskisuurten organisaatioiden hallitusten jäsenille, mutta se toimii myös kyberturvallisuudesta vastaavien henkilöiden arkisena työkaluna. Opasta voivat kuitenkin hyödyntää kaikenkokoiset organisaatiot toimialaan katsomatta. Ohjeita pilvipalvelujen turvallisuudesta yksityishenkilöille, pienyhteisöille ja -yrityksille (Ulkoinen linkki) * Suojattavien tietojen ja niiden merkityksen tunnistaminen on tärkeää, jotta suojaukset voidaan mitoittaa suojaustarpeiden mukaisesti. Nasevia neuvoja tiliesi turvaamiseksi (Ulkoinen linkki) * Verkkopalveluissa käytettäviä tilejä yritetään murtaa ja ottaa haltuun usein eri keinoin. Tähän artikkeliin on koostettu lyhyet ohjeet ennakkoon suojautumisen kannalta, sekä mitä tehdä murron tapahduttua. Näin pidät huolta tietoturvasta kotona ja työpaikalla (Ulkoinen linkki) * Huolellisuudella ja muutamalla perustaidolla voit turvata tietosi verkossa. Kun käytät maalaisjärkeä, kunnollisia salasanoja ja päivität sovelluksesi sekä laitteesi ajallaan, olet jo hyvässä kyberturvassa. LUE MYÖS JUTTUSARJAN MUUT OSAT Päivitykset - laastaria älylaitteen haavoihin Haavoittuvuuksien hallinta ohjelmistoyrityksessä Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio pähkinänkuoressa 23.03.2023 14:08 Tarkennettu ja korjattu aiemmin virheellinen lause security.txt-kohtaan "Keväällä 2022 on julkaistu tekninen määritelmä IETF:n RFC-julkaisusarjan Informational-kategoriassa, joka määrittelee tavat security.txt:n luomiseen:" Tulosta tämä sivu Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Tuotamme tietoturvallisuuden tilannekuvaa. YHTEYSTIEDOT Käyntiosoite: Dynamicum, Erik Palménin aukio 1, 00560 HELSINKI Postiosoite: Kyberturvallisuuskeskus, Liikenne- ja viestintävirasto Traficom, PL 313, 00059 TRAFICOM Vaihde: 029 534 5000 SEURAA MEITÄ Facebook Twitter LinkedIn (Traficom) Instagram (Traficom) YouTube (Traficom) TUTUSTU MYÖS Hack the Networks (Ulkoinen linkki) Havaro (Ulkoinen linkki) Huoltovarmuuskeskus (Ulkoinen linkki) Kybermittari (Ulkoinen linkki) Tietoturvamerkki (Ulkoinen linkki) Traficom (Ulkoinen linkki) Turvalistit (Ulkoinen linkki) * Tietoa sivustosta * Saavutettavuusseloste * Hallitse evästeitä