Haavoittuvuuksien julkistamiskäytäntö

Viimeksi päivitetty: 5. syyskuuta 2019

Kraken Security Labs tutkii säännöllisesti yleisesti käytettyjen sovellusten, laitteistojen ja tuotteiden tietoturvaa. Tutkimus tehdään tällaisten palveluiden ja tuotteiden loppukäyttäjien kouluttamiseksi ja suojelemiseksi. Tämä käytäntö määrittelee, kuinka Kraken Security Labs käsittelee vastuullista haavoittuvuuksien julkistamista, kun havaitsemme tietoturvahaavoittuvuuksia kolmansien osapuolten tuotteissa ja palveluissa.

Kraken Security Labs ilmoittaa asianmukaiselle toimittajalle tuotteessa/tuotteissa ja/tai palvelussa/palveluissa olevasta tietoturvavirheestä. Ensimmäinen yhteydenottoyritys tapahtuu toimittajan verkkosivustolla lueteltujen asianmukaisten yhteystietojen tai virallisten kanavien kautta. Jos tällaisia yhteystietoja ei ole julkaistu, Kraken Security Labs pyrkii parhaansa mukaan löytämään asianmukaisen yhteydenottotavan. Kun virallinen tai asianmukainen yhteydenottotapa on löytynyt, haavoittuvuutta koskevat olennaiset tiedot toimitetaan turvallisesti toimittajalle.

Jos toimittaja ei kuittaa alkuperäistä ilmoitusta viiden (5) arkipäivän kuluessa, Kraken Security Labs ottaa toimittajaan yhteyttä toisen kerran. Jos Kraken Security Labs on käyttänyt kaikki edellä mainitut keinot toimittajaan yhteyden saamiseksi, Kraken Security Labs voi julkaista julkisen tiedotteen havainnoistaan viidentoista (15) arkipäivän kuluttua alkuperäisestä yhteydenottoyrityksestä.

Jos toimittajalta saadaan vastaus edellä mainitussa määräajassa, Kraken Security Labs pyytää toimittajaa määrittelemään halutun korjausajan. Kraken Security Labs antaa toimittajalle enintään yhdeksänkymmentä (90) kalenteripäivää haavoittuvuuden korjaamiseen päivityksellä. Määräajan päättyessä tai aiemmin (jos toimittaja ilmoittaa), jos haavoittuvuus on korjattu, tai jos toimittaja ei vastaa tai ei pysty antamaan perusteltua selvitystä siitä, miksi haavoittuvuutta ei ole korjattu, Kraken Security Labs julkaisee julkisen tiedotteen, joka sisältää suosituksia lieventämistoimenpiteistä loppukäyttäjien suojelemiseksi.

Kraken Security Labs tekee kaikkensa yhteistyössä toimittajien kanssa varmistaakseen, että he ymmärtävät raportoidun tietoturvavirheen tekniset yksityiskohdat ja vakavuuden. Jos tuotteen toimittaja ei pysty tai päättää olla korjaamatta tiettyä tietoturvavirhettä, Kraken Security Labs voi tarjoutua työskentelemään kyseisen toimittajan kanssa virheen julkistamiseksi tehokkaiden kiertotapojen kera.

Mikäli Kraken Security katsoo aiheelliseksi varoittaa yleisöä välittömästi haavoittuvuudesta tuotteen tai palvelun loppukäyttäjälle aiheutuvan riskin tai turvallisuusuhan vuoksi, Kraken Security Labs ilmoittaa havainnoistaan samanaikaisesti sekä toimittajalle että yleisölle. Toimittajalle suunnatussa viestinnässä Kraken Security Labs luettelee tekijät, jotka vaikuttivat päätökseen julkaista havainnot välittömästi.