Kun organisaation jokaisesta työasemasta löytyvästä, paljon käytetystä ohjelmistosta löytyy nollapäiväaukko soisi turvapäivityksen tulevan jakeluun mahdollisimman nopeasti. Joskus paikkausta on kuitenkin odoteltava viikkoja ja kuukausia.

Otetaanpa esimerkiksi viime viikolla havaittu Flash-nollapäiväaukko (CVE-2010-1297), joka koskee myös Adobe Reader -ohjelmistoa. Valmistajahan kertoi haavoittuvuuden aktiivisesta hyödyntämisestä viime perjantaina ja tällä viikolla haavoittuvuutta on hyödynnetty laajemmalti ainakin sähköpostiliitteiden avulla.

Nyt tiedämme Flash-korjauksen tulevan jakeluun tänään torstaina - ilmeisesti illalla Suomen aikaa. Adobe Reader - ja Adobe Acrobat -ohjelmistojen osalta korjaus tulee kuitenkin saataville vasta kuun loppuun mennessä. Kolme viikkoa on pitkä aika odottaa.

Mitä organisaatio voi ja sen kannattaa tehdä turvapäivitystä odottaessa:

• Kartoita onko organisaatiossasi PDF-toiminnallisuutta, joka perustuu JavaScriptin tai Flashin ajamiseen PDF-dokumentissa. Harkitse ominaisuuksien poiskytkemistä PDF-lukijasta - haavoittuvuuksien löytyminen ei rajoitu tähän tuoreimpaan.

• Onko haavoittuvalle ohjelmistolle vaihtoehtoja? PDF-lukijan vaihtaminen ei kuitenkaan ole aivan yksiselitteistä. Mikäli organisaatio käyttää suomenkielisiä toimisto-ohjelmia ja suomenkielistä selainta on esimerkiksi englanninkielisen ohjelmiston tuominen palettiin konstikasta.

• Ota selville onko organisaatioosi jo hyökätty Adobe-aukolla. Virustorjunnan lokeista löytyvät tunnistusnimet, mainittakoon esimerkiksi Exploit:W32/Pidief.CPT, Trojan.Pidief.J ja TROJ_PIDIEF.WX, kielivät tästä. Tarkista myös ovatko selaimen generoimat tietoturvahälytykset lisääntyneet.

Pohdiskelimme tammikuussa isojen ohjelmistovalmistajien siirtymistä vuosineljänneksittäisiin päivityksiin. Ainakin Adoben osalta tämä haavoittuvuus pakotti sen luopumaan säännöllisestä julkaisuaikataulusta.

Kansallinen turvallisuuden audiointikriteeristö eli Katakri on nyt voimassa. Laatimistyössä on ollut mukana viranomaisia, elinkeinoelämän toimijoita ja turvallisuusalan järjestöjä. Varsinainen kriteeristö reiluna satasivuisena dokumenttina löytyy täältä [.PDF]. Kriteeristön runkona on käytetty pitkälti ISO 27001 - ja PCI DSS -standardeja.

Ennen kesälomiaan valtioneuvoston pitäisi hyväksyä puolestaan asetus tietoturvallisuudesta valtionhallinnossa. Tuo ns. tietoturvallisuusasetus määrittelee samalla tietoturvatasot. Tällä hetkellä on vielä vaikea arvioida tulevatko Katakri ja uusi asetus sisältämään päällekkäisyyksiä. Sisäisen turvallisuuden ministeriryhmä on päätynyt suosittamaan Katakrin käyttöönottoa.

Katakria ennen auditointien pohjana on käytetty esimerkiksi virastojen sisäisiä tarkistuslistatyyppisiä dokumentteja. Auditoivana tahonahan on viranomainen, tyypillisesti puolustusvoimat tai suojelupoliisi.

Molemminpuolinen hyöty

Selvää on, että yhtenäisen auditointikriteeristön valmistuminen auttaa sekä auditoinnin tilaajaa että toteuttajaa. On eletty myös tilanteessa, jossa kaikki auditoinnin osa-alueet kattava kattodokumentti on selkeästi puuttunut.

Katakri kattaa myös henkilöstöturvallisuuden vaatimuksia. Katakri voidaankin nähdä pitkälti toimialariippumattomana dokumenttina kuten ISO 27001 -standardikin.

Herääkin muun muassa kysymys kuinka kauan Katakri-auditointi on voimassa? Hallinnollisia kysymyksiä on runsaasti. On todennäköistä, että Katakria tullaan käyttämään myös vaatimusmäärittelyjen pohjana monissa oganisaatiossa

Jari Törmälä on Nixun sisäinen tietoturvapäällikkö ja on toteuttanut lukuisia hallinnollisia tietoturva-auditointeja julkishallintoon.