20.03.2008

Haavoittuvuuksien hallinnan teemaseminaari 29.4.2008

Viestintävirasto järjestää haavoittuvuuksien hallintaan liittyvän teemaseminaarin. Toivomme, että tieto tilaisuudesta tavoittaa mahdollisimman laajasti haavoittuvuustutkimuksesta ja haavoittuvuuksien hallinnan menetelmistä vastaavat ja kiinnostuneet henkilöt.

Aika: Tiistai 29.4.2008 klo 12.00–14.45
Paikka: Viestintävirasto, Itämerenkatu 3 A, Helsinki

Paikkoja on rajoitetusti, joten pyydämme osallistujia ilmoittautumaan viimeistään perjantaina 18.4.2008 osoitteeseen teemaseminaari@ficora.fi. Varaudumme vastaanottamaan seminaariin enintään 100 osallistujaa. Seminaari on maksuton.

Ilmoittautujille ilmoitetaan heti, kun osallistuminen voidaan Viestintäviraston puolesta vahvistaa. Ajoneuvon paikoitukseen liittyviin kysymyksiin vastataan asiakaspalvelustamme numerosta 09 6966 500.

Seminaarin ohjelma

11.30–12.00 Kahvi

12.00–12.15 Tervetuliaissanat
Erka Koivunen
CERT-FI-yksikön päällikkö
Viestintävirasto

12.15–13.00 Keynote speaker
Howard A. Schmidt
President and CEO
R & H Security Consulting, LLC

13.00–13.30 Haavoittuvuustutkimus
Marko Laakso
Head of SRD
Codenomicon Ltd.

13.30–14.30 Haavoittuvuuksien hallinta
Juhani Eronen
Tietoturva-asiantuntija
Viestintävirasto

14.30–14.45 Yhteenveto ja tilaisuuden päättäminen

Seminaarin puheenjohtajana toimii Erka Koivunen Viestintävirastosta.

Howard A. Schmidt on yli 40 vuoden uransa aikana vaikuttanut muun muassa presidentti George W. Bushin nimittämänä Valkoisen talon tietoturvallisuusasiantuntijana. Schmidt on Microsoftin ja eBayn entinen tietoturvajohtaja ja useiden amerikkalaisten televisioyhtiöiden, kuten ABC:n, CNN:n ja CNBC:n suosima tietoturva-asiantuntija, joka on kirjoittanut useita kirjoja tietoturvallisuudesta. Nykyään Schmidt toimii R&H Security Consultingin toimitusjohtajana.

Tilaisuuden taustaa

Viestintäviraston CERT-FI-yksikkö koordinoi vakavien ohjelmistohaavoittuvuuksien korjaamiseen liittyvää toimintaa. Viimeisimpään, 17.3.2008, julkistettuun haavoittuvuuskoordinointiprojektiin liittyi lukuisia haavoittuvuuksia useissa sovelluksissa. CERT-FI koordinoi yhdessä brittiläisen CPNI:n ja japanilaisen JPCERT:in kanssa maailmanlaajuista testimateriaalin jakelua ja muuta testausvaiheeseen liittyvää toimintaa eri ohjelmisto- ja laitevalmistajien kanssa.

Lisätietoa projektin tuloksista:

http://www.cert.fi/haavoittuvuudet/2008/haavoittuvuus-2008-34.html

Ohjelmistohaavoittuvuudet johtuvat usein jo ohjelmiston toteutusvaiheessa tehdyistä virheistä. Kun virheen katsotaan vahingoittavan ohjelmiston tai tietojärjestelmän tietoturvallisuutta, se voidaan luokitella haavoittuvuudeksi.

Tietoturvallisuuteen liittyvän uuden haavoittuvuuden käsittelyprosessi etenee parhaimmillaan siten, että haavoittuvuudesta informoidaan ohjelmisto- ja laitevalmistajia, jotka pyrkivät tekemään haavoittuvuuteen korjauksen ennen haavoittuvuuden julkaisua. Tällöin toimitaan vastuullisesti kaikkia toimijoita kohtaan. Haavoittuvuuden käsittelyprosessi voi toteutua myös täydellisen julkistuksen periaatteella, mikäli haavoittuvuutta jo hyödynnetään. Tällaisessa tilanteessa haavoittuvuuteen ei ole välttämättä saatavilla korjausta, mutta tiedossa olevaan tietoturvaongelmaan voidaan reagoida.

Näitä aiheita pyritään avaamaan Viestintäviraston teemaseminaarissa.