Tietoturvailmoitus.fi opastaa toimimaan tietoturvan ongelmatilanteissa

Yrityksen ulkopuoliselta hakkerilta tuleva tieto tietoturvahaavoittuvuudesta saa pelikirjan sekaisin monessa yrityksessä ja yhteisössä. Solita rakensi yhdessä alan asiantuntijoiden kanssa ohjeistuksen, miten toimia hakkereiden kanssa oikein. Väärä reagointi tai reagoimattomuus ulkopuolelta tulevaan tietoturvailmoitukseen lisää yrityksen tietoturvariskiä.

Tietoturvailmoitus.fi on tietopaketti organisaatiolle, joka saa ilmoituksen tietoturvaongelmasta. Palvelun tavoite on antaa selkeät ohjeet siitä, kuinka reagoida ilmoitukseen tietoturva-aukosta niin organisaation kuin ilmoituksen tekijän, kuten tietoturvaharrastajan, näkökulmasta. Tietoturvailmoitus.fi-palvelu antaa toimintaohjeet myös niille organisaatioille, joilla ei vielä ole erityistä IT-järjestelmien tietoturvaosaamista.

Mukana tietoturvailmoitus.fi-palvelua ovat olleet Solitan asiantuntijoiden lisäksi rakentamassa LähiTapiola, tietoturvaan erikoistunut Mint Security, IT-alaan erikoistunut lakiasiaintoimisto Turre Legal sekä kriisiviestinnän asiantuntija Katleena Kortesuo. Yhteinen pyrkimys on tehdä tietoturvan parantamisesta ja tietoturvailmoitusten käsittelystä ammattimaista ja rakentavaa.

“Liian usein yrityksissä vastaus hakkerin yhteydenottoon tai ilmoitukseen tietoturva-aukosta on hiljaisuus tai uhkailu. On äärimmäisen tärkeää herätä miettimään tietoturvaa ja toimintatapoja jo ennen kuin tietoturva-aukkoja havaitaan: kuka ottaa reagointivastuun ja miten asiaa voi selvittää”, kommentoi Solitan Cloud Service Specialist ja tietoturva-asiantuntija Iiro Uusitalo. Solitan Iiro Uusitalo tunnetaan ns. valkohattuhakkerina (engl. white hat hacker), eli hän käyttää asiantuntemustaan löytääkseen haavoittuvuuksia järjestelmistä ja ohjelmistoista, ja auttaa siten estämään rikollisissa tarkoituksissa hakkeroivien aikaansaamaa vahinkoa (ns. mustahattuhakkerit, black hat hackers).

Toimintatavat ja ennakkoluulottomuus ytimessä hakkerin kohtaamisessa

Monessa yrityksessä ja yhteisössä kavahdetaan sanaa hakkeri. Osa tietoturvaharrastajista eli ns. hakkereista käyttää kuitenkin taitojaan suojellakseen yrityksiä ja yhteisöjä rikollisilta tahoilta (valkohattu- vs. mustahattuhakkeri). Tietoturvailmoitus.fi -palvelu antaa toimintamalleja kommunikointiin sekä yritykselle että tietoturvaharrastajille.

“Yritykset tarvitsevat ennakkoluulotonta ajattelua ja avoimuutta toimiessaan tietoturvaharrastajien ja -ammattilaisten kanssa tietoturvahaavoittuvuuksien selvittämiseksi. LähiTapiola on Bug Bounty -ohjelman kautta saanut satoja tietoturvailmoituksia ja olemme korjanneet yli 100 palveluissamme olevaa haavoittuvuutta”, kommentoi LähiTapiolan tietoturvajohtaja Leo Niemelä. Niemelä on käynnistänyt mm. tietoturvahaavoittuvuuksia etsivän LähiTapiolan Bug Bounty -ohjelman, jonka kautta LähiTapiola maksaa rahallisia palkkioita merkityksellisistä ja hyvistä raporteista. Vuonna 2016 Tietoturva ry palkitsi hänet vuoden tietoturvapäällikkönä.

Lanseeraaminen IT Pro 2017 - tapahtumassa.
Kuva © Antti Pirinen.