Teknisten haavoittuvuuksien hallinta

Joskus tietojärjestelmiin jää heikkouksia, joista voi aiheutua ongelmia joko vahinkojen tai rikollisen tahallisen heikkouden hyödyntämisen kautta. CVE-tiedotuksen (Common Vulnerabilities and Exposures) kautta IT-palvelujen kehittäjät viestivät tunnistetuista ja korjatuista heikkouksista.
tietoturva-aukot
haavoittuvuusskannaus
riskien hallinta
Huom.! Tätä artikkelia täydennetään vielä. Lisää sisältöä tulossa piakkoin.

Vaatimustaso

Tason 1 asiat ovat pakollisia peruasioita, joista jokaisen organisaation, vaikka digitaalisuus tai datan käsittely ei korostuisikaan, olisi syytä pitää hyvää huolta.
Tason 2 asiat ovat digiturvan oleellisia ydinasioita, jotka ovat tärkeitä useimmille organsiaatioille ja joilla voidaan huomattavasti parantaa digiturvan tasoa. Nämä liittyvät yleensä tiiviisti tason 1 asioihin.
Tason 3 asiat ovat syventäviä digiturvateemoja, jotka eivät korostu jokaisen organisaation toiminnassa, mutta joiden voidaan entisestään parantaa tietoturvan ja tietosuojan saralla.
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3

Suositeltu organisointi

Teemoille, jotka ovat sopivan kokoisia ja koordinoitavissa ilman jalkauttamista yksikkö- tai esimerkiksi järjestelmäkohtaisesti, on helpompaa nimetä selkeä(t) vastuuhenkilö(t). Vastuuhenkilöllä on oltava tarvittavat valtuudet ja resurssit teeman hoitamiseen. Vastuuhenkilö voi olla esimerkiksi tietoturvapäällikkö tai tietosuojavastaava.
Teemoille, jotka vaativat järjestelmä- tai rekisterikohtaista koordinointia, organisointi kannattaa hoitaa pääkäyttäjien kautta. Tietojärjestelmät ja rekisterit ovat organisaation avainomaisuutta, joiden pääkäyttäjälle tai yhteyshenkilölle kuuluu vastuilleen erilaisten käytäntöjen hoitamista tai sääntöjen valvomista.
Teemoille, jotka ovat turhan laajoja yksittäisten vastuuhenkilöiden koordinoitaviksi, ja jotka eivät suoraan organisoidu järjestelmä- tai rekisterivetoisesti, suosittelemme yksikkökohtaista koordinointia. Jokaisessa yksikössä (myynti, tuotanto, talous, asiakaspalvelu, jne.) olisi oltava vastuuhenkilö, joka huolehtii esimerkiksi tiedon keräämisen tai sääntöjen jalkauttamisen oman yksikkönsä henkilöstölle.
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt

Osa-alueen tavoite, riskit ja haasteet

Teknisten haavoittuvuuksien hallinta korostuu itse kehitettyjä IT-palveluja tarjoavilla toimijoilla. Siellä tällainen skenaario saattaa olla hyvinkin tuttu...

Tiimimme saapuu töihin ja järjestelmät toimivat sujuvasti, kunnes yhtäkkiä tietojärjestelmien toiminta alkaa hidastua ja lopulta pysähtyy. Asiakaspalvelumme alkaa saada puheluita hermostuneilta asiakkailta. IT-tiimi hikoilee löytääkseen syyn ja saadakseen järjestelmät takaisin pystyyn, joka onnistuu muutaman tunnin kuluessa. Hukkaan menee vähintäänkin aikaa ja asiakkaiden hermosoluja.

Tapausta tutkitttaessa juurisyyksi löydetään heikkous tietojärjestelmän käyttämässä komponentissa, jonka kumppani on tunnistanut ja korjannutkin jo viikkoja sitten. Varsinainen korjaus kestää viisi minuuttia. Joskus tällaiset heikkkoudet voivat tietenkin johtaa kadonneeseen tai varastettuun dataan tai muuten suuriin vahinkoihin. Teknisten haavoittuvuuksien hallinnalla tarkoitetaan näiden tilanteiden ennakointia ja tarvittaessa tehokasta hoitamista.

Esimerkkejä sisällöistä

Selvitettäviä kysymyksiä

Nämä ovat esimerkkejä asioista, joiden selvittämistä ja mahdollisesti raportoimista tämän osa-alueen käsitteleminen vaatii organisaartiolta.
No items found.

Mahdollisia toimintatapoja

Seuraavat sisältöesimerkit antavat tarkempia esimerkkejä siitä, millaisilla käytännöillä tai säännöillä tämän osa-alueen turvallisuutta voidaan kehittää.
Seuratut teknisten haavoittuvuuksien tietolähteet

Ohjelmistoille ja muulle teknologialle on tietoisesti yksilöity tietolähteet, joita käyttämällä tunnistetaan meille relevantteja teknisiä haavoittuvuuksia ja ylläpidetään tietoa niistä. Tietolähteitä arvioidaan ja päivitetään löydettäessä uusia hyödyllisiä lähteitä.

Haavoittuvuuksia voi löytyä suoraan hyödyntämistämme toimittajien järjestelmistä tai monien järjestelmiemme hyödyntämistä open source -komponenteista. On tärkeää seurata useita lähteitä, jotta oleellisista asioista ollaan kärryillä.


Tunnistettujen teknisten haavoittuvuuksien käsittelyprosessi

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

  • ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
  • haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
  • tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • haavoittuvuuden käsittelyä jatketaan isommalla porukalla vakavuustason mukaisesti
Korjaustiedostojen arviointi ja testaus ennen käyttöönottoa

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

  • voidaanko korjaustiedosto testata ennalta kunnolla?
  • onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
  • onko korjaustiedosto on saatavilla luotettavasta lähteestä?
  • mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
  • tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista
Kapasiteettiongelmien ennakointi

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä.

Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota.

Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.


Vaatimuksia muissa frameworkeissä

Läheisesti liittyvät Digiturvakartan muut kohdat

Tämän osa-alueen sisällöt liittyvät läheisesti etenkin näihin kohtiin Digiturvakartan muista osasista:
Häiriöiden käsittely
Tietoturvahäiriöllä tarkoitetaan kaikkia ei-toivottua tai yllättäviä digiturvaan liittyviä tapahtumia, jotka vaarantavat liiketoimintaa tai tietoturvallisuutta.
Haittaohjelmilta suojaus
Haittaohjelmilta (virukset, madot, troijalaiset, vakoilu- ja mainosohjelma) suojautuminen on yksi perinteisimmistä ja tunnetuimmista tavoista parantaa teknistä tietoturvaa niin kuluttaja- kuin yrityskäytössä.
Kehitys- ja tukikäytännöt
Kehitys- ja tukikäytännöillä pyritään sisäänrakentamaan turvallisuusnäkökohdat luonnolliseksi osaksi omaa it-kehitystä tai -tukea.