TÀmÀn avoimen kirjeen on tarkoitus tavoittaa yliopistojen, ammattikorkeakoulujen, lukioiden ja ammattikoulujen tietoturvasta pÀÀttÀvÀt henkilöt. Team ROT tarjoaa yhdelle Suomalaiselle koululle ilmaisen teknisen tietoturvatestauksen.
Olemme Team ROT, meitĂ€ on kuusi henkilöÀ ja tietoturva on intohimomme. Teemme teknisiĂ€ tietoturvatestauksia jĂ€rjestelmiin ja laitteistoihin, sekĂ€ vapaa-ajallamme, ettĂ€ pĂ€ivĂ€työksemme. Olemme osallistuneet lukuisiin haavoittuvuuspalkinto-ohjelmiin (engl. “Bug Bounty program”) maailmanlaajuisesti ja tiimimme jĂ€senet ovatkin tunnettuja myös kansainvĂ€lisesti. Nyt haluamme parantaa Suomen koulujen tietoturvallisuutta ja haluamme tarjota yhdelle Suomen koululle ilmaisen työpanoksemme, jotta Suomi ja suomalaisten koulujen jĂ€rjestelmĂ€t saadaan turvallisemmaksi.
Team ROT jÀrjesti vuonna 2017 #kuntahaaste -kampanjan, jossa tekemÀllÀmme työpanoksella paransimme Suomalaisten kuntien tietoturvallisuutta. Vuonna 2018 osallistuimme Visman jÀrjestÀmÀÀn Visma Hackday -tapahtumaan, jossa testattiin useiden koulujen kÀyttÀmÀn Wilma-jÀrjestelmÀn tietoturvallisuutta (https://www.visma.fi/blog/visma-hackday-suomi-ruotsi-maaottelu/). Nyt haluammekin jatkaa tÀllÀ Suomalaisten koulujen tietojÀrjestelmien tietoturvallisuutta edistÀvÀllÀ tiellÀ, ja olemmekin pÀÀttÀneet lanseerata #kouluhaaste -kampanjan.
PyydÀmme halukkaita kouluja ilmoittautumaan mukaan #kouluhaaste -kampanjaan huhtikuun 2019 loppuun mennessÀ lÀhettÀmÀllÀ vapaamuotoisen ilmoittautumisen sÀhköpostiosoitteeseen team@rot.fi. Team ROT valitsee halukkaiden koulujen joukosta yhden koulun, johon tietoturvatestaus suoritetaan. Testaus sisÀltÀÀ teknisen tietoturvatestauksen, joka suoritetaan Team ROT -jÀsenten toimesta valitun koulun jÀrjestelmiin yhden, vielÀ mÀÀrittelemÀttömÀn viikonlopun aikana. Team ROT kontaktoi valittua koulua toukokuun 2019 alkupuolella.
Tietoa testausprosessista
Jotta tietoturvatestaus olisi mahdollisimman sujuva ja reilu molemmille osapuolille, koulu voi mÀÀritellÀ itse halutun kohteen tai kohteet sekÀ halutessa rajata tietyt testitapaukset pois testauksesta. Team ROT kuitenkin suosittelee, ettÀ testauksen kohteena olisi mukana mahdollisimman laaja osa koulun jÀrjestelmiÀ. NÀin ollen koulu hyötyy Team ROT:in tekemÀstÀ työstÀ mahdollisimman laajasti.
Testausaikana Team ROT pyrkii olemaan aiheuttamatta ongelmia kohdejÀrjestelmien saatavuuden, eheyden ja luottamuksellisuuden kanssa, mutta kuten kaikessa testauksessa, odottamattomia ongelmia voi esiintyÀ. TÀten Team ROT ei ota vastuuta mahdollisista ongelmista, jotka testaus suorasti tai epÀsuorasti voi aiheuttaa. Team ROT suosittelee, ettÀ testaus suoritetaan sellaisena ajankohtana jolloin mahdollisista esiintyvistÀ ongelmista aiheutuu mahdollisimman vÀhÀn haittaa koulun normaalille toiminnalle, esim. testaus suoritetaan viikonloppuna koulun loma-aikana.
Testauksen lopputuotoksena kirjoitetaan raportti, jossa raportoidaan kaikki testauksen aikana havaitut tietoturvaongelmat. Raportti toimitetaan koulun tietoturvatestaukseen valitulle yhteyshenkilölle, yleensÀ koulun tietoturvavastaavalle. Jos havainto koskee koulun ulkopuolista organisaatiota tai kolmannen osapuolen toimittajan sovellusta, Team ROT ilmoittaa havainnoista myös Traficomin kyberturvallisuuskeskukselle, CERT-FI:lle. TÀmÀ sen takia, ettÀ haavoittuvuuskoordinointi kolmansien osapuolten kanssa onnistuisi mahdollisimman sujuvasti. Kun raportoidut havainnot ovat korjattu, Team ROT julkaisee niistÀ yhteenvedon. Yhteenveto kÀydÀÀn lÀvitse ennen sen julkaisemista yhdessÀ koulun kanssa ja sisÀllöstÀ poistetaan osapuolten halujen mukaisesti luottamuksellinen ja/tai yksilöivÀ tieto.
Team ROT pidÀttÀÀ oikeuden julkaista tiedon haavoittuvuuksien kokonaismÀÀrÀstÀ jo ennen tietoturvahaavoittuvuuksien korjaamista, mutta tarkempia tietoja haavoittuvuuksista tai osallistuvaa koulun nimeÀ ei julkaista ennen tietoturvahaavoittuvuuksien korjaamista tai erillistÀ testattavan koulun antamaa kirjallista lupaa.
Terveisin,
Team ROT
Team ROTia #kouluhaaste’eessa tukemassa:
Image result for visma logo
Image result for solita logo
Image result for elisa logo