Tietoturva

Cert-fi kirjoitti selväksi vaikean roolinsa

Julkaistu: , Päivitetty:

Viestintäviraston tietoturvayksikkö Cert-fi toimii ajoittain luotettuna linkkinä – ikään kuin diplomaattina – vaikeiden ohjelmistoaukkojen korjaamiseksi. Nyt käytännöistä on mustaa valkoisella.


Cert-fi julkaisi ensimmäisen kerran haavoittuvuuksien koordinoinnin periaatteensa. Yhtenä tavoitteena on kuvata koordinointityön tavoitteita ja Cert-fi:n asemaa koordinointiprosessin eri toimijoiden välisenä mahdollistajana.

Koordinointityön tavoitteena on korjata haavoittuvuuksia, eli tietoturvaa vaarantavia ohjelmistovirheitä. Lopullisena tavoitteena on, että ohjelmistojen käyttäminen olisi mahdollisimman turvallista, yksikkö selvittää.

Haavoittuvuuksien löytäjien ja ohjelmistovalmistajien haavoittuvuustiedon käsittelyn pelisääntöjen rinnalle on luotu myös yhteiskunnan ja yksilön näkökulmia vahvemmin esille tuovia periaatteita ja suosituksia. Ajan saatossa muovautuneiden käytäntöjen julkaisu kirjallisena koordinointipolitiikkana on Cert-fi:n vastaus tähän tarpeeseen.

Vaikea
palli


Koordinaatiotyön luonne on hyvin kansainvälinen, minkä vuoksi periaatteet julkaistiin englanniksi. Cert-fi on tehnyt vuodesta 2005 aktiivista työtä haavoittuvuuksien korjauksen koordinoimiseksi, mistä esimerkkinä ovat korjaukset xml-ongelmaan viime kesänä ja syksyiset paikkaukset tcp-haavoittuvuuksiin.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Cert-fi:n kaltaisen koordinoijan työ ei ole aina helppoa. Haavoittuvuuksien löytäjillä ja ohjelmistovalmistajilla saattaa olla hyvinkin erilaisia näkemyksiä, miten ja milloin haavoittuvuudet tulisi julkistaa.

Erimielisyydet haavoittuvuuksien julkistamisesta voivat estää jo kättelyssä Cert-fi:n ryhtymisen koordinaattoriksi. Toinen ehto Cert-fi:n osallistumiselle on, että löydetyn haavoittuvuuden pitää olla riittävän merkittävä.

– Yleisön oikeus saada tietoa täytyy punnita valmistajan prosessia ja liiketoimintatarpeita sekä loppukäyttäjien tietoturvatarpeita vastaan. Cert-fi pyrkii toimimaan luotettuna välittäjänä haavoittuvuuksien löytäjien, valmistajien ja yleisön välillä, periaatteissa lukee.

Kommentit

    Näytä lisää