Case FRENDS: Liiketoimintakriittisen integraatioalustan tietoturvatestaus ja sertifiointi

HiQ Finland pyysi elfGROUP:ia tietoturvatestaamaan FRENDS-integraatioalustansa. Näin HiQ sai ulkopuolisen varmistuksen tuotteensa tietoturvan tasosta, sekä CyberSafe-sertifikaatin, jota he aikovat käyttää tuote- ja asiakaskommunikaatiossaan kertomaan FRENDS-alustan sopivuudesta kriittisten liiketoimintaprosessien automatisointiin ja luottamuksellisen tiedon integrointiin järjestelmien välillä.

Tässä blogissa kerromme kuinka tietoturvatestaus tehtiin ja mitä tuloksia prosessi tuotti HiQ:lle.

HiQ Finland ja FRENDS

HiQ Finland on erikoistunut vaativiin verkkoliiketoiminnan ja sähköisen asioinnin ratkaisuihin, prosessi-integraatioon sekä laadunvarmistukseen. HiQ:n integraatioalusta FRENDS mahdollistaa prosessien automatisoinnin ja järjestelmien integroinnin, rajapintojen tarjoamisen sisäiseen ja ulkoiseen käyttöön, sekä tietojärjestelmien yhteyksien verkoston pysymisen hallittuna kokonaisuutena.

Miksi tietoturvatestaus oli HiQ:lle tärkeää

FRENDS on käytössä kymmenillä johtavilla suomalaisilla ja kansainvälisillä organisaatiolla. Se automatisoi isoa määrää näiden organisaatioiden liiketoimintakriittisiä prosesseja, ja alustan läpi virtaa tavaton määrä luottamuksellista tietoa.

Asmo Urpilainen, CTO, Director of Product Development, kertoo, että koska FRENDS on erityisesti tarkoitettu asiakkaan datan käsittelyyn ja kriittisten liiketoimintaprosessien automatisointiin, tietoturva on luonnollisesti erittäin tärkeää sekä tuotteen että asiakasimplementointien kannalta, eikä tietoturvasta johtuvia ongelmia voi esiintyä tällaisissa ympäristöissä.

Saadakseen objektiivisen näkökulman HiQ halusi ulkopuolisten tietoturvan ammattilaisten tietoturvatestaavan FRENDS-alustan. Samalla tulisi asiakkaille ja muille sidosryhmille konkreettisesti näkyväksi HiQ:n sitoutuminen hyvään tietoturvan tasoon.

Miten tietoturvatestaus tehtiin

HiQ ja elfGROUP aloittivat yhteisen tietoturvatestausprosessin elokuussa 2019. Testausprosessin aikana elfGROUP:n asiantuntijat käyttivät samoja menetelmiä, työkaluja ja tekniikoita, joita potentiaalinen vihamielinen hakkeri voisi käyttää yrittäessään murtautua järjestelmään, esimerkiksi päästäkseen kiinni siellä olevaan tietoon.

Johtuen FRENDS-alustan arkkitehtuurista ja liiketoimintakriittisestä roolista, testauksessa laitettiin merkittävä panostus käyttöliittymätason testauksen lisäksi myös API-rajapintojen ja arkkitehtuurin eri osien välisen kommunikaation testaamiseen. Oli tärkeä tietää, että koko arkkitehtuurin syvyydeltä järjestelmä on tietoturvallinen, sekä missä tahansa kohtaa järjestelmää tietoa vaihdettiinkaan, siihen ei tarkoituksettomasti päässyt väliin.

HiQ:n ja elfGROUP:n tiimit pitivät tiiviin yhteyden koko testauksen ajan, ja kun elfGROUP:n asiantuntijat löysivät jotain testauksen aikana, se kommunikointiin ja verifioitiin välittömästi HiQ:n tiimin kanssa. Näin varmistettiin maksimaalinen tiedon ja osaamisen siirto tiimien välillä, ja kun tarvetta oli, nopea korjaaminen ja uudelleentestaus. Koska elfGROUP:n asiantuntijat olivat edeltä käsin tutustuneet tuotteen arkkitehtuuriin ja teknologiaan, he pääsivät välittömästi vauhtiin, ja testaus oli tehokasta ensimmäisestä päivästä asti. Samalla he pystyivät luomaan uniikkeja hyökkäysskenaarioita juuri tähän ympäristöön ja kertomaan löytämänsä tapaukset FRENDS:in kontekstissa niin, että järjestelmää kehittävät koodarit pystyivät ymmärtämään ne, sekä toimimaan välittömästi ehdotusten mukaisesti.

Asmo kertoo, että parasta prosessin aikana oli yhteistyö heidän tuotekehitystiiminsä ja elfGROUP:n asiantuntijoiden välillä. HiQ:n tiimille tuli tunne, että tämä ei ole elfGROUP:n asiantuntijoille pelkästään liiketoimintaa, vaan kaikki aidosti tahtoivat yhdessä löytää ja ratkaista ongelmat, ja että prosessi tehtiin heidän ehdoillaan. Lisäksi, myyntiprosessin ja palveluiden selkeys antoi Asmolle jo varhain varmuuden siitä, mitä hän oli tilaamassa ja saamassa testauksen tuloksena.

Mitä tietoturvatestauksesta jäi HiQ:lle

Kun järjestelmässä ei enää ollut korkean tai kriittisen tason tietoturvahaavoittuvuuksia, testaus katsottiin hyväksytysti suoritetuksi, ja elfGROUP myönsi FRENDS-integraatioalustalle CyberSafe Solution -sertifikaatin. HiQ aikoo käyttää sitä asiakaskommunikaatiossaan kertomaan FRENDS-integraatioalustan korkeasta tietoturvan tasosta sekä myös kulttuurista, joka pyrkii pitämään asiakkaan tiedot turvassa sekä järjestelmän toimintavarmuuden maksimaalisena myös mahdollisissa poikkeustilanteissa.

Miten tästä eteenpäin

Asmo kertoo, että HiQ Finland:in tahtotila on ylläpitää tietoturvan taso hyvänä, ja jatkaa yhteistyötä elfGROUP:n kanssa. Tämä voi Asmon mukaan tarkoittaa periodittaista tietoturvatestausta, sekä tietoturvan kehittämistä myös muun toiminnan alueella. Tietoturva ei ole pelkästään yksittäinen toimenpide tai dokumentti, vaan pohjimmiltaan lähestymistapa, kulttuuri ja ajatusmalli, jonka tulisi läpäistä kaiken toiminnan.

Jos olet kiinnostunut kuulemaan lisää FRENDS-integraatioalustasta, ota yhteyttä Asmo Urpilaiseen (etunimi.sukunimi@hiq.fi).

Jos haluat keskustella siitä, kuinka sinun ohjelmistotuotteesi, verkkopalvelusi, mobiiliapplikaatiosi tai IoT-laitteesi kannattaisi tietoturvatestata ja sertifioida, ota yhteyttä elfGROUP:n myyntiin osoitteessa sales@elfgroup.fi.

Share This Story, Choose Your Platform!

About the Author: Antti Matikainen

Antti Matikainen

Antti innostuu asiakkaittensa liiketoiminnan ymmärtämisestä ja arvon luomisesta niiden ainutlaatuisissa ympäristöissä. Antilla on laaja kokemus korkean teknologian tuotteitten ja palveluiden myynnistä ja konsultoinnista, sekä hänellä on näkemystä siitä, miten digitalisaatio muuttaa liiketoimintojen logiikkaa.