Näin varmistat digitalisaatiohankkeesi tietoturvan

Oikein suunniteltu, toteutettu ja ennen kaikkea todennettu tietoturva tulisi nähdä osana kilpailukykyisen yrityksen strategiaa. Tietoturva koskettaa jokaisen yrityksen päivittäistä elämää, ja sen huolellinen hallinta on tärkeimpiä asioida, mitä voi digitaalisessa maailmassa toimivan yrityksen jatkuvuuden eteen voi tehdä. Pakollisen kuluerän ja rasitteen sijaan tietoturva kannattaakin erityisesti digitalisaatiohankkeissa nähdä kilpailuetuna.

Tietoturvaosaamisen markkinoinnissa on helppo käyttää raflaavia mainoksia ja teknisiä lyhenteitä vilisevää materiaalia, mutta monilta toimijoilta puuttuu tietoturvan osaamisen todennettavuus. Osaamisen todennettavuus on siten tärkeä etu erottauduttaessa kilpailijoista, ja se siihen soveltuvat esimerkiksi erilaiset sertifikaatit ja ulkopuolisten tahojen suorittamat auditoinnit.

Yrityksen tietoturvan tasoa saadaan nostettua huomattavasti jo laittamalla muutamat perusasiat kuntoon. Alle on koottu olennaisimpia huomioitavia asioita ja osa-alueita erityisesti ohjelmistoyritysten liiketoiminnan näkökulmasta. Suurin osa näistä pätee kuitenkin toimialasta riippumatta yritykseen, jolla on käytössään sähköisiä järjestelmiä.

1. Arkkitehtuuri

Jo sovelluksen arkkitehtuurin suunnitteluvaiheessa on tietoturva hyvä ottaa yhdeksi keskeiseksi suunnittelukriteeriksi. Yleisiä turvallisia arkkitehtuurisuunnittelumalleja olisi syytä hyödyntää mahdollisimman paljon ja minimoida itse tehtävät ratkaisut, ellei niille löydy selkeää perustetta.

Arkkitehtuurin kannalta kannattaa suosia ratkaisuja, jotka pitävät sovelluksen toimintalogiikan hyvin ymmärrettävänä ja helposti seurattavana. Monimutkainen toimintalogiikka jättää helposti piiloon polkuja ja toiminnallisuutta, joita ei helposti tule testattua kattavasti, ja sen myötä virheiden paikallistaminen on hankalampaa.
Monet palvelut suunnitellaan nykyään noudattamaan mikropalveluarkkitehtuuria, jossa sovelluksen toiminta hajautetaan pieniin yksittäisiin komponentteihin, jotka kaikki hoitavat yhden tietyn asian. Erilliset pienet kokonaisuudet, jotka tekevät vain pienen määrän rajattuja asioita ovat helpompia toteuttaa turvallisesti, kuin monoliittiset sovellukset, jotka pitävät sisällään suuren määrän eri toimintoja.
Mikropalvelujen etuna on myös se, että jatkossa kyetään helpommin ja nopeammin paikkaamaan mahdollisia haavoittuvia osuuksia tietoturvassa julkaisemalla päivitys vain kyseiseen pieneen komponenttiin, sen sijaan että pitäisi päivittää suuri monoliittinen sovellus.
Kun sovellukseen julkaistaan päivityksiä ja uusia toiminnallisuuksia, ne on syytä testata tuotannonkaltaisessa ympäristössä mahdollisimman oikeantyyppisellä datalla ennen tuotantoon laittoa. Mitä rajatumpaan osaan sovelluskoodia tehdään muutoksia, sitä helpompi se on testata kattavasti ennen tuotantoon vientiä. Näin ollen mahdolliset bugit ja tietoturvariskit havaitaan mahdollisimman hyvin ennen julkaisua tuotantoon.

Hyödynnä avointa lähdekoodia

Sovelluksen toteutuksessa olisi syytä käyttää hyväksi todettuja avoimen lähdekoodin ratkaisuja ja kirjastoja, jotka ovat jo saaneet osakseen runsaasti testausta tietoturvan kannalta. Tässäkin olisi syytä kiinnittää huomiota siihen, että ratkaisut ovat edelleen aktiivisessa ylläpidossa laajan kehittäjäyhteisön toimesta.

Lisäksi avoimen lähdekoodin käytössä on seuraavia etuja tietoturvan kannalta

Jos koodista löydetään haavoittuvuus, se voidaan mahdollisesti itsekin korjata nopeasti, toisin kuin suljetussa lähdekoodissa, jossa joudutaan odottamaan kolmannen osapuolen reagointia asiaan.
Lähdekoodi on mahdollista auditoida itse ennen sen tuotantoon viemistä.
Monet tunnetuista avoimen lähdekoodin projekteista ja kirjastoista ovat koko ajan hyvin suuren käyttäjämäärän testattavana, mikä nopeuttaa mahdollisten bugien havaitsemista ja korjaamista nopeammin.

Avoimeen lähdekoodiin ei silti tule sokeasti luottaa, eikä ulkopuolista koodia pitäisi ottaa käyttöön ilman perehtymistä sen toimintaan.

2. Sovelluskehitys

Tietoturva tulee huomioida jo sovelluksen kehityksen aikana, ei ainoastaan testaamalla sitä sen valmistuttua. Näin huomioit tietoturvan kehitysvaiheessa:

Tee sovelluksen uhkamallinnus ja dokumentoi todennäköisimmät hyökkäysvektorit ennen toteutustyön aloitusta.
Käytä toteutuksessa tunnettujen toimittajien valmiita ratkaisuja aina kun mahdollista, esimerkiksi pääsyoikeuksien hallinnassa. Minimoi itse tehtävät toteutukset ja ratkaisut, ja käytä niissä turvalliseksi testattuja toteutustapoja.
Kannusta sovelluskehittäjiä viestimään kehitysvaiheessa avoimesti, jos he kokevat epävarmuutta jollain osa-alueella tietoturvan osalta. Koodikatselmoinnit ovat yksi hyvä toimintatapa toteutusvaiheen ongelmien havaitsemiseksi. Lisäapuna osaksi CI/CD kehitysputkea on hyvä ottaa käyttöön staattisia analysointiratkaisuja koodin tietoturvalle ja käytettäville kirjastoille.
Huomioi kehityksessä yleisimmät tiedossa olevat uhat, esim OWASP top 10

Panosta käytettävyyssuunnitteluun

Käytettävyyssuunnitteluun kannattaa panostaa heti alkuvaiheessa, jolloin sovellusta on helppo käyttää oikein. Tällä minimoidaan inhimillisten virheiden aiheuttamia riskejä.

Vaikka sovellus olisi rakennettu lähtökohtaisesti mahdollisimman turvalliseksi, voi tietoturva vaarantua tahattomallakin käyttäjävirheellä. Esimerkiksi, jos sovelluksen käyttöliittymä mahdollistaa riskialttiin toiminnon kuten henkilötietoa sisältävän sisällön välityksen sähköpostin kautta yhdellä klikkauksella ilman vahvistusta, muodostaa tämä riskin. Lisäksi tahaton vahinko saattaa jäädä helposti huomaamatta.
Nykypäivänä erilaiset vapaamuotoiset tietokentät muodostavat riskin GDPR-näkökulmasta. Vapaamuotoisten tietokenttien sisältöön ei sovelluksen toteuttajalla ja ylläpitäjällä ole välttämättä vaikutusmahdollisuuksia, näihin saattaa ylläpidon tietämättä jäädä käyttäjien syöttämää GDPR:n alaista tietoa.

3. Infrastruktuuri

Sovelluskokonaisuuden alustaksi on syytä valita ratkaisu, joka mahdollistaa tietoturvan huomioinnin osana kokonaisuutta.

Tällä hetkellä suurimmat pilvipalveluiden tuottajat esimerkiksi Amazon AWS, Microsoft Azure ja Google GCP tarjoavat oletuksena alustoillaan erittäin hyviä tietoturvaratkaisuja verrattuna siihen, että koko toteutus rakennettaisiin omaan konesaliin alusta alkaen. Yllä mainitut tahot ovat jo valmiiksi investoineet miljoonia ja useita vuosia hyvän tietoturvan kehittämiseen omille alustoilleen. Tätä kannattaa hyödyntää, kun miettii vaihtoehtoja sille, missä omaa sovellusta tulee ajamaan.
Niin kauan kuin oma dedikoitu infrastruktuuri ei ole ehdottomana vaatimuksena, vastaavan tasoista tietoturvaa saa helpommin ja halvemmalla johtavilta pilvipalveluntarjoajilta.
Infrastruktuurin hallinnan ulkoistaminen poistaa myös huolta palvelimien fyysisen turvallisuuden ja esimerkiksi varmuuskopioiden huolehtimisesta.

4. Käyttäjät

Käyttäjät tulee kouluttaa sovelluksen käyttöön. Usein tietoturvassa heikoin lenkki on käyttäjä, joka toimii odottamattomalla tavalla ja tietämättään aiheuttaa omalla toiminnallaan riskin.

Sovelluksen käyttäjien tulisi tuntea, kuinka sovellus toimii, ja pystyä havaitsemaan selkeät poikkeamat toiminnassa. Mitä helpommin käyttäjät havaitsevat sen, että sovellus ei toimi oikein, sitä helpommin myös mahdolliset väärinkäytökset vähenevät.

Kasvata tietoturvaosaamista

Kriittinen huomioitava asia on koko organisaation yleisen tietoturvaosaamisen kehittäminen. Ei pelkästään omiin sovelluksiin keskittyen, vaan yleisesti tietämys ajankohtaisista asioista ja hyvistä käytännöistä. Tämän tulisi olla jatkuva prosessi, jossa osaamista ylläpidetään säännöllisen vuosikellon mukaan.

Hyvin koulutettu käyttäjä voi olla myös vahvin lenkki tietoturvassa. Hyvällä koulutuksella varmistetaan se, että käyttäjät havaitsevat helpommin poikkeamat tietoturvassa ja osaavat reagoida oikein tilanteen sattuessa kohdalle.
Jokaiselle työntekijälle pitäisi antaa ainakin perustason koulutusta tietoturvasta. Esimerkiksi millainen on hyvä salasana, miten salasanoja kuuluu hallita, epäilyttävien sähköpostien tunnistamista, jne. Tämä vähentää jo huomattavasti yrityksen mahdollisuuksia joutua tietomurron uhriksi.

5. Käytännöt

Koko yrityksen kulttuuria tulee rakentaa siitä näkökulmasta, että se tukee hyvän tietoturvakulttuurin kehittymistä

Pitäkää yrityksessänne tietoturva positiivisena asiana, johon tutustumista ja jonka opiskeluun kannustetaan.
Kouluttakaa työntekijöitänne tietoturvasta työnantajan toimesta.
Käyttäkää yrityksen laajuisesti salasanamanageria, jolla hallinnoidaan eri palveluissa käytettäviä salasanoja. Näin voidaan käyttää pitkiä ja monimutkaisia salasanoja turvallisesti.
Pitäkää omat työpisteet ja toimisto turvallisena pitämällä arkaluontoiset materiaalit katseilta piilossa erityisesti tiloissa, joihin ulkopuolisia päästetään käymään.
Huolehtikaa, että arkaluontoisille asioille löytyy lukitut säilytystilat.

Ota käyttöön tietoturvapolitiikka

Tietoturvan kannalta kriittisiä teknisiä asioita voi ohjata politiikoilla.

Ottakaa käyttöön politiikat, jotka estävät liian heikkojen salasanojen käytön. Tämä vähentää huomattavasti automaatiolla suoritettavien murtautumisyritysten onnistumista palveluihin ja käyttäjien tileille.
Käyttäkää monivaiheista tunnistautumista, aina kun se on mahdollista.
Luokaa yleisimpiin asioihin selkeä prosessi, kuten eri järjestelmien pääsynhallinnan valvonta ja käytännöt esimerkiksi poistuvien henkilöiden osalta.

6. Budjetti

Tietoturvan ylläpitoon ja kehitykseen tulee varata riittävä budjetti. Liian pienellä osuudella on hankala saavuttaa kokonaisvaltainen ja olennaiset osa-alueet kattava tietoturvallisuus ja ylläpitää jatkuvaa kehitystä.

Varatkaa yrityksen budjetista osa tietoturvan kehittämiseen ja ylläpitämiseen. Tämä maksaa itsensä takaisin ehkäisemällä tietovuotoja ja muita puutteellisesta tietoturvasta aiheutuvia ongelmia.
Yksikin vakava tietoturvaongelma on voi helposti tulla yritykselle paljon kalliimmaksi kuin vuosienkaan panostus tietoturvaan. Etenkin yrityksen imagolle voi olla hyvinkin haitallista, jos se päätyy julkisuuteen tietomurron takia.
Myös nykyään kasvavassa määrin yleistyvien Ransomware-hyökkäysten kohteeksi joutuminen voi tuottaa huomattavia tappioita liiketoimintaan.

Kehitä tietoturvaosaamista kumppanin kanssa

Tietoturvan tasoa ja toimintavalmiuksia nostetaan huomattavasti kiinnittämällä huomiota edellä mainittuihin perusasioihin. Talentreen asiantuntijat auttavat mielellään, jos yrityksenne haluaa kehittää omaa tietoturvaosaamistaan ja käytäntöjään. Tarjoamme palveluita auditoinneista ja koulutuksista aina teknisiin järjestelmän tietoturvatestauksiin ja skannauksiin.

Tekstin on kirjoittanut ohjelmistokehityksen konsultti Mikael Peltomaa. Jos kiinnostuit aiheesta, ota yhteyttä ohjelmistoliiketoiminnan johtajaamme Santeri Siltalaan.

Näin varmistat digitalisaatiohankkeesi tietoturvan

1. Arkkitehtuuri

Hyödynnä avointa lähdekoodia

2. Sovelluskehitys

Panosta käytettävyyssuunnitteluun

3. Infrastruktuuri

4. Käyttäjät

Kasvata tietoturvaosaamista

5. Käytännöt

Ota käyttöön tietoturvapolitiikka

6. Budjetti

Kehitä tietoturvaosaamista kumppanin kanssa

Tutustu henkilöön

Santeri Siltala

Jaa tämä artikkeli

Ohjelmistokehitys asiakastarinoita

Digitalisoinnista tehokkuutta tuotantoketjun kaikkiin vaiheisiin

Oikein valittu valmisratkaisu on laadukas ja luotettava

Mobiilisovellus palvelee ammattilaisia kenttätyössä

Sujuvalla yhteistyöllä verkkokauppa uudistui ennätysajassa

Tietoturva asiakastarinoita

Yrityksen tietoturvan analyysi tuo toimintavarmuutta

Tietoturvan ajantasainen tilannekuva pohjustaa kasvua

Blogikirjoituksia

Tietoturvan tilannekuva ohjaa kehittämistä

SavoSec-kyberturvallisuustapahtuman puheenvuorot

Haittaohjelmat ja huijausviestit, osa 1: töitä tekstarilla