Tarkoitus
Tämän asiakirjan tavoitteena on standardoida, kuinka Second Nature Security Oy (2NS) ilmoittaa tietoturvahaavoittuvuuksista vastuullisella ja hallitulla tavalla. 2NS tekee yhteistyötä toimittajien kanssa korjatakseen havaitut haavoittuvuudet. Haavoittuvuuksien ilmoittamisen päätavoitteet ovat:
- Auttaa asiakkaitamme paikkaamaan haavoittuvat järjestelmät suojatakseen organisaationsa.
- Parantaa koko alan tietoturvaa kannustamalla toimittajia korjaamaan havaitut haavoittuvuudet ja julkaisemaan korjauksia.
- Julkaista haavoittuvuuden yksityiskohdat asianmukaisille tahoille, jotta ongelmat voidaan korjata.
- Lisätä yleistä ymmärrystä tietoturvahaavoittuvuuksista.
Asiakkaisiin vaikuttavat haavoittuvuudet
Kun tietoturvahaavoittuvuus havaitaan asiakkaan ympäristössä tai asiakasprojektissa, 2NS kunnioittaa asiakkaan kanssa tehtyjä salassapito- ja sopimusvelvoitteita. 2NS ilmoittaa haavoittuvuudesta asiakkaalle viipymättä ja tekee yhteistyötä seuraavien toimenpiteiden määrittämiseksi. 2NS voi julkaista haavoittuvuustietoja tai jakaa niitä asiaankuuluville koordinaattoreille, kuten NCSC-FI:lle, mutta vain tapauksissa, joissa asiakas sallii tällaisen toiminnan.
Kolmannen osapuolen palveluihin ja tuotteisiin vaikuttavat haavoittuvuudet
Jos 2NS havaitsee tietoturvahaavoittuvuuden, joka vaikuttaa kolmannen osapuolen palveluun tai tuotteeseen, 2NS ilmoittaa asiasta suoraan toimittajalle tai haavoittuvuuksien koordinaattorille, kuten NCSC-FI:lle. Kun 2NS raportoi kolmannen osapuolen palveluiden tai tuotteiden tietoturvaongelmista toimittajalle tai koordinaattoreille, asiakkaan henkilöllisyyttä ei paljasteta, ellei siitä ole erikseen sovittu asiakkaan kanssa.
Kolmansien osapuolien haavoittuvuuksissa, joilla voi olla laajempaa vaikutusta, 2NS noudattaa 90 päivän ilmoitusaikaa. Kun kolmas osapuoli on saanut ilmoituksen haavoittuvuudesta, 2NS odottaa 90 päivää ennen kuin tiedot haavoittuvuudesta julkaistaan. Julkinen ilmoitus voi tapahtua aiemmin, jos kolmas osapuoli pystyy tarjoamaan ratkaisun haavoittuvuuksien vaikutusten ehkäisyyn ennen määräaikaa. Tämä käsitellään erikseen keskusteluissa kolmannen osapuolen kanssa.
Tietyissä tapauksissa 90 päivän aikarajaa voidaan pidentää, jos siitä sovitaan kolmannen osapuolen kanssa.
Jos 2NS havaitsee todisteita siitä, että aiemmin tuntematonta haavoittuvuutta hyödynnetään aktiivisesti oikeita käyttäjiä vastaan, 2NS voi korvata normaalin 90 päivän politiikan 7 päivän ilmoituspolitiikalla.