”Tietoturvan ja -suojan merkitys vain korostuu nykymaailmassa, jossa tietojärjestelmät kehittyvät koko ajan monimutkaisemmiksi ja samalla, ikävä kyllä, myös niihin kohdistuvat riskit ja uhat kasvavat”, Chief Security Officer (CSO) Tarmo Karppinen Digialta sanoo.
Digian ja Montin asiantuntijat löysivät haavoittuvuuden Microsoftin Power Pages -ratkaisussa Digian toimitusprojektin yhteydessä. Monti toimi hankkeessa tietoturvan toteutumista valvovana kumppanina. Digian ja Montin asiantuntijat suunnittelivat ja toteuttivat kyseisessä toimitusprojektissa paikkauksen, jonka ansiosta järjestelmän käyttöä oli mahdollista jatkaa turvallisesti.
Haavoittuvuus raportoitiin viipymättä Microsoftille, joka on nyt julkaissut globaalin korjauksen Power Pages -sovellukseen kaikille käyttäjille.
Tiedossa ei ole, että kyseistä haavoittuvuutta olisi ehditty hyödyntää väärinkäytöksiin.
”Pahimmillaan haavoittuvuus olisi voinut antaa hyökkääjälle mahdollisuuden suorittaa haittakoodia järjestelmän käyttäjän selaimessa. Haavoittuvuuden hyödyntäminen olisi kuitenkin vaatinut useammasta suojauksesta läpipääsyä”, vanhempi tietoturva-asiantuntija Lauri Vehviläinen Montilta kertoo.
Microsoft myönsi haavoittuvuuden löytämisestä Digialle ja Montille 3000 dollarin Bug Bounty -palkkion. Digia ja Monti ovat lahjoittaneet palkkion nuorten mielenterveystyöhön, Mieli ry:n Sekasin-chatin tukemiseen.
Oppeja kaikille yrityksille ja organisaatioille
Karppinen ja Vehviläinen nostavat esiin muutaman asian, jotka tämän tapauksen perusteella kannattaa kaikissa organisaatioissa muistaa.
”Ensinnäkin tämän haavoittuvuuden löytyminen kuvastaa riittävän perusteellisen tietoturvatestauksen merkitystä. Tietojärjestelmiä rakennetaan ja kehitetään tyypillisesti eri toimijoiden yhteistyönä, jolloin tietoturva on varmistettava läpi koko ketjun”, Karppinen sanoo.
Digialla sovellusturvallisuus on osa tietoturvan hallintajärjestelmää ja sitä kautta jokaista Digian kehitysprojektia. On silti tärkeää, että myös asiakasyrityksissä on ymmärrystä ja valmiutta panostaa tietoturvaan, Karppinen sanoo.
”Mikäli omalle osaamiselle kaipaa vahvistusta tai lisäresursseja, kannustamme hyödyntämään kolmansia osapuolia tukena tietoturvan osalta”, Karppinen sanoo.
Myös Lauri Vehviläinen Montilta korostaa, kuinka tietoturvan parantamisessa toimivan yhteistyön merkitys korostuu, kun ”yksi suunnittelee, toinen toteuttaa ja kolmas varmentaa”.
”Tietoturvaa kehittävänä ja varmentavana asiantuntijayrityksenä saamme jatkuvasti olla tekemisissä asiakkaidemme muiden kumppaneiden kanssa. Digialle täydet pisteet heidän kokonaisvaltaisesta suhtautumisestaan tietoturvaan, ja erityisesti heidän avoimesta ja kiinnostuneesta asenteestaan myös meidän esille nostamiin tietoturvakysymyksiin. Tämän kyseisen haavoittuvuuden käsittely ja raportointi oli erinomaisen yhteystyön tulos”, havaintoa tekemässä ollut Vehviläinen sanoo.
”Digialla ja Microsoftilla on vuosien ajalta vahva kumppanuus. Työskentelemme yhdessä sen eteen, että kehitämme maailmanluokan tuoteperhettä koko ajan turvallisemmaksi ja paremmin asiakkaillemme arvoa tuovaksi”, liiketoimintajohtaja Samuli Forsman Digialta sanoo.
Info: Microsoft Power Pages ja siitä korjattu haavoittuvuus
• Microsoft Power Pages on sovellus verkkosivujen rakentamiseen Microsoft Dynamics 365 -liiketoiminta-alustan päälle.
• Järjestelmässä, jonka kehitystyön yhteydessä haavoittuvuus löytyi, on kyse yrityksen asiakkaille tarkoitetusta käyttöliittymästä yrityksen CRM-järjestelmään.
• Haavoittuvuus ehdittiin löytää ja korjata ennen kuin sitä tiettävästi olisi ehditty hyödyntää väärinkäytöksiin.
• Microsoft on toteuttanut globaalin korjauksen kaikille käyttäjille.
Lisätietoja:
Tarmo Karppinen
Chief Security Officer (CSO), Digia
P. 050 438 8544
tarmo.karppinen(a)digia.com
Samuli Forsman
Senior Delivery Group Director, Digia
P. 040 709 2521
samuli.forsman(a)digia.com
Oula Hallman
Toimitusjohtaja, Tietoturvatoimisto Monti
P. 050 556 7764
oula(a)monti.fi