Valtaosan ohjelmistojen tietoturvahaavoittuuvuksista löytää joku muu kuin ohjelmiston alkuperäinen kehittäjä. Tällaisia haavoittuvuuksia voi ilmetä ohjelmiston tavanomaisen käytön yhteydessä tai ne voivat tulla esiin, mikäli niitä erityisesti etsitään. Löydettyjen haavoittuvuuksien kohdalla on kuitenkin toimittava vastuullisesti.

Sekä rikolliset että tietoturvatutkijat etsivät haavoittuvuuksia monista eri syistä. Monilla ohjelmistoyhtiöillä on käytössä ns. "Bug Bounty"-ohjelma, jossa ne maksavat rahallisen korvauksen kolmansien osapuolien löytämistä ja vastuullisesti raportoimista tietoturvahaavoittuvuuksista. Tämä on yleistyvä käytäntö.

Löytyneiden tietoturvahaavoittuvuuksien korjaaminen on keskeistä tietoturvallisten ohjelmistotuotteiden kehittämisessä, sillä monimutkaisten ohjelmistojen laatiminen lähtökohtaisesti täydellisen tietoturvallisiksi on käytännössä hyvin hankalaa. Kyberturvallisuuskeskus ottaa vastaan suomalaisena viranomaisena ilmoituksia tietoturvahaavoittuvuuksista ja hoitaa yhtenä harvoista CERT-toimijoista kansainvälistä haavoittuvuuskoordinointia.

Tietoturvahaavoittuvuuden etsiminen ja löytäminen ohjelmistosta tai verkkopalvelusta ei ole laissa kielletty, mikäli niiden etsimisen tarkoituksena ei ole murtautua järjestelmään. Haavoittuvuuden havaittuaan sen löytäjän on kuitenkin toimittava löytönsä kanssa vastuullisesti ja ymmärrettävä, että haavoittuvuuden hyväksikäyttäminen saattaa täyttää rikoksen tunnusmerkistön. Haavoittuvuuden hyväksikäyttämiseksi ei lasketa haavoittuvuuden olemassaolon todentamista.

Haavoittuvuuden löytäjän tilanne voidaan rinnastaa arkipäiväiseen asiaan; mikäli koiranulkoiluttaja huomaa, että paikallisen myymälän ulko-ovi on jäänyt auki, ei hän syyllisty rikokseen koettaessaan ovea kahvasta todetakseen sen, mitä silmämääräisesti on jo epäillyt. Avoin ovi tai ikkuna ei kuitenkaan anna koiranulkoiluttajalle lupaa mennä kiinteistöön sisälle tai tutkia siellä paikkoja, vaan asia pitää pikimiten saattaa sekä viranomaisten että myymälän omistajan tietoon.

Rajanveto haavoittuvuuden todentamisen ja hyväksikäytön välillä voi olla joskus vaikeaa. Tällaisissa tapauksissa haavoittuvuusepäilystä voi olla aikaisessa vaiheessa yhteydessä Viestintäviraston Kyberturvallisuuskeskukseen, jossa haavoittuvuuden olemassaolo voidaan todentaa viranomaisten toimesta. Näin toimiessaan haavoittuvuuden löytäjä ei ota riskiä siitä, että hänen toimintansa saattaisi täyttää rikoksen tunnusmerkistön. Viestintäviraston Kyberturvallisuuskeskus voi ilmoittaa löydetystä haavoittuvuudesta sen uhrille ja antaa neuvoja haavoittuvuuden korjaamiseksi.

Viestintäviraston Kyberturvallisuuskeskukselle voi ilmoittaa löytämistään haavoittuvuuksista myös nimettömästi.

• Viestintäviraston Kyberturvallisuuskeskuksen haavoittuvuuskoordinointitoiminta
• Alankomaiden kyberturvallisuuskeskuksen ohjeet vastuullisesta tietoturvahaavoittuvuuden ilmoittamisesta: https://www.ncsc.nl/binaries/content/documents/ncsc-en/current-topics/news/responsible-disclosure-guideline/1/Responsible Disclosure ENG.pdf