Valtionhallinnossa OpenSSL-haavoittuvuuksia korjattu nopealla aikataululla
Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) tekninen jaosto on kartoittanut, kuinka laajasti valtionhallinnossa on ollut käytössä OpenSSL-salauskirjastoa käyttäviä tietojärjestelmiä.
OpenSSL-kirjastossa havaittiin 7.4.2014 haavoittuvuus, jonka jälkeen Viestintävirastossa toimiva Kyberturvallisuuskeskus julkaisi asiasta haavoittuvuustiedotteen 8.4.2014 numero 049/2014.
Valtiovarainministeriön 17.4.2014 mennessä saamien tietojen mukaan valtionhallinnon OpenSSL-kirjaston sisältävissä järjestelmissä noin 50 prosentissa on ollut käytössä haavoittuvia versioita. Haavoittuvista järjestelmistä on tähän mennessä korjattu lähes 90 prosenttia ja lopuissa järjestelmissä korjaustoimenpiteet ovat käynnissä.
Valtaosa raportoiduista järjestelmistä on organisaatioiden sellaisissa verkoissa, jotka eivät näy internetiin. Tällöin riski haavoittuvuuden hyväksikäytöstä on merkittävästi pienempi kuin internet-verkossa tarjottavissa palveluissa. Internet-verkossa näkyvien palveluiden korjaustilanne on erittäin hyvä, koska tiedossa ei ole tällä hetkellä yhtään haavoittuvan OpenSSL-version sisältävää palvelua. Valtiovarainministeriö seuraa tilannetta ja koordinoi jatkotoimenpiteitä.
Valtiovarainministeriö ei luovuta tietoayksittäisten tietojärjestelmien tilanteesta.
Valtiovarainministeriön mukaan valtionhallinnon organisaatiot ja palveluntuottajat ovat toimineet nopeasti ja asianmukaisesti OpenSSL-haavoittuvuuden korjaamisessa. Palvelujen turvallisuustaso on säilynyt hyvänä. Toistaiseksi ei ole havaintoja, että haavoittuvuutta olisi käytetty hyväksi.
Lisätietoja:
VAHTIn pääsihteeri Aku Hilve, puh. 02955 30088 ja VAHTIn teknisen jaoston varapuheenjohtaja Aarne Hummelholm, puh. 02955 30085, valtiovarainministeriö
VAHTIn teknisen jaoston puheenjohtaja Kimmo Rousku, puh. 02955 03176, Valtion tieto- ja viestintätekniikkakeskus Valtori