Tutkimuksen mukaan kaksi kolmasosaa yrityksistä on alttiina vähintäänkin matalamman riskin uhkille. Haavoittuvuustestauksia tai tietoturva-auditointeja säännöllisesti käyttävät organisaatiot selviävät pienemmin riskein.
Tutkimuksesta vastasi Aalto-yliopiston teknillisen korkeakoulun Ohjelmistoliiketoiminnan tutkimusyksikkö SBL loppuvuoden 2009 ja alkuvuoden 2010 aikana.
SBL:n tutkimuksen tavoitteena oli kartoittaa yleisimmät tietoturvahaavoittuvuudet sekä auttaa yrityksiä parantamaan verkkoturvallisuuttaan ja haavoittuvuuksien hallintaa. Tutkijat selvittivät 32 suomalaisen organisaation tietoverkkojen ulospäin internetiin näkyvät ohjelmistohaavoittuvuudet.
Kaikki organisaatiot olivat mukana vapaaehtoisesti ja olivat antaneet etukäteen luvan haavoittuvuusskannauksille. Jokainen mukaan tullut yritys sai lisäksi luottamuksellisen raportin oman verkkoturvallisuutensa tilasta.
Kaikkiaan 523 haavoittuvuutta
Tutkimuksessa löytyi kaikkiaan 523 haavoittuvuutta 42 palvelimelta eli yhtä palvelinta kohden keskimäärin 12,5 haavoittuvuutta. Näistä kolmasosa (33 %) oli korkean riskin haavoittuvuuksia.
Lähes puolella organisaatioista (47 %) oli korkean riskin haavoittuvuuksia ja lähes kahdella kolmesta (62 %) ainakin matalamman riskin haavoittuvuuksia. Yleisimmin haavoittuvuudet olivat www-palvelimella ja liittyivät PHP-ohjelmointikieleen.
”Säännöllisiä haavoittuvuusskannauksia tai tietoturva-auditointeja hyödyntävät organisaatiot voivat pienentää riskitasoaan muihin verrattuna”, sanoo SBL:n projektipäällikkö Christian Frühwirth.
Tutkimus oli osa Tekesin rahoittamaa VALO-projektia. SBL käytti tutkimuksessa Outpost24:n haavoittuvuusskannaukseen kehittämää OutScan-työkalua. OutScanin avulla skannaukset pystyi suorittamaan tehokkaasti mutta häiritsemättä tutkittujen kohteiden toimintaa.
SBL:n mukaan verkkoturvallisuuden tilaa kartoittanut tutkimus toteutettiin nyt ensimmäistä kertaa. Jatkossa asiaa on tarkoitus tutkia vuosittain. Tutkimuksen yhteenveto on osoitteessa http://www.outpost24.com/files/O24_TKK_Network_Study.pdf.
Korkean riskin haavoittuvuuksia ovat CVSS-asteikolla 0-10 lukeman 7 tai enemmän saavat haavoittuvuudet. Lisätietoja on verkko-osoitteessa www.first.org/cvss/.
