CSE18: Ohjelmistovarmuuden ja tietoturvallisuuden rakentaminen

Cyber Security Executive 2018 tapahtuma tarjoili laajan kattauksen kyberturvan aiheita sekä puheenvuorojen että verkostoitumisen ja messujen muodossa. Olimme jo toista kertaa mukana tässä tapahtumassa. elfGROUPilla oli tapahtumassa oma ständi, ja olimme paikalla Karin, Pekan ja Tom:n kanssa. Kari ja Pekka ovat elfGROUP:n myynnistä ja Tom on uusin vahvistuksemme elfGROUP:n pääkaupunkiseudun kasvavaan joukkueeseen. Paikalla oli satoja kyberturvallisuudesta kiinnostuneita yrityspäättäjiä, turvallisuusjohtajia ja tietoturvapäälliköitä. Tällä kertaa Helsingin Kattilahallissa järjestetyssä CSE18:ssä oli tarjolla laaja-alainen kattaus kyberturvallisuutta avaavia ja tukevia puheenvuoroja. Omassa puheenvuorossani keskityin ohjelmistovarmuuden ja tietoturvallisuuden rakentamisen tärkeyteen läpi koko tietojärjestelmän arkkitehtuurin.

 

Ohjelmistovarmuus, ohjelmointirajapinnat ja IoT

Tietojärjestelmistä rakennetaan jatkuvasti integroidumpia, yli järjestelmä- ja organisaatiorajojen keskustelevia kokonaisuuksia. Lähes kaikki järjestelmät tarjoavat API-rajapintoja ohjelmalliseen tietojenvaihtoon tai tapahtumien suorittamiseen. Myös järjestelmien käyttäjät, niin kuluttajat kuin yrityksetkin, edellyttävät rajapintojen saatavilla oloa. API-rajapinnoista onkin tullut selkeä kilpailutekijä, puhutaan jopa API-taloudesta. Järjestelmien halutaan keskustelevan saumattomasti ja vaihtavan tietoja keskenään lähes automaattisesti.

Samaan aikaan, kun ympäristöt ja toteutettavat järjestelmät monimutkaistuvat, kehittämisen vauhti kasvaa ja uudet ratkaisut on saatava markkinoille entistä nopeammin. Yritykset ja organisaatiot laativat API-strategioita, joissa myös tietoturvanäkökulma tulee ottaa konkreettisesti huomioon. Kompleksisissa ympäristöissä tietoturvallisuuden systemaattinen kehittäminen on kriittisempää kuin koskaan. IoT-ratkaisut ovat erinomainen esimerkki laaja-alaisista kokonaisuuksista, joissa uutta teknologiaa sisältäviä osa-alueita yhdistetään innovatiivisilla tavoilla. Tietoturvaan ja yleisesti tiedonhallintaan liittyvät ongelmat syntyvät usein mitättömiltä tuntuvista unohduksista ja ajattelemattomuuksista, kun rajapinta tai toteutettu logiikka mahdollistaakin arvaamattomia toimintoja. elfGROUP on mukana Solita-vetoisessa IoT-allianssissa varmistamassa yhteistyössä muiden yritysten kanssa toteutettavien IoT-ratkaisujen kyberturvallisuutta.

Tietoturvatestauksissa näemme toistuvasti, kuinka järjestelmän käyttöliittymään on rakennettu syötteiden validointia tai käyttöoikeuksien tarkastuksia, mutta samoihin tietoihin pääsyn mahdollistavasta API-rajapinnasta nämä toteutukset ovatkin jääneet kokonaan tai osittain pois. Tämä on yksi selkeä merkki puutteellisesta arkkitehtuurisuunnittelusta ja tietoturvallisuuden sipulimallin unohtumisesta. Usein se tarkoittaa myös sitä, että järjestelmän laajuudessa tarkasteltuna toteutus sisältää enemmän tai vähemmän copy/paste-koodia sen sijaan, että kokonaisuus olisi loogisesti toiminnollisuuksia niputtaen ja uudelleen käyttäen rakennettu.

Puheenvuorossani nostin esille ohjelmistovarmuuden perusteita sekä tietoturvallisen kehittämisen menetelmiä ja tietoturvallisen suunnittelun periaatteita, kuten virheiden ja haavoittuvuuksien olettaminen, varhainen ja turvallinen epäonnistuminen sekä vastahakoisuus perusteettomaan luottamiseen. Koska tietojärjestelmät ovat ihmisten tekemiä, virheet ja erehtyminen kuuluvat niihin luontaisesti. Ohjelmistovarmuus ja ohjelmistotuotannon ei-toiminnalliset vaatimukset on tuotava kosketeltaviksi vaatimuksiksi ja ohjelmistoprojektien toimituksiksi.

Tietoturvatestaus on tuotava integroiduksi osaksi ohjelmistotoimitusta. Tämä myös mahdollistaa mittaamisen, seurannan ja kehittämisen! Riittävällä ylimmän johdon tuella tästä saadaan pidettyä kiinni myös aikataulupaineen iskiessä. Uhkien mallintamisen myötä myös horisontaaliset kyberuhat ja hyökkäysvektorit on helpompi tunnistaa. Luottamusrajojen määrittelyyn ja niiden suojaamiseen keskittyminen kannattaa, koska silloin ohjelmiston turvallisuusmekanismit saadaan kohdistettua taloudellisesti, eikä ruutia polteta tarpeettomasti.

Koska kehittäjät ja ihmiset ylipäätään sokaistuvat omille virheilleen, ulkopuolisen tahon suorittama tietoturvatestaus ja esimerkiksi tietojärjestelmälle myönnettävä sertifiointi tai luottamuksellisuuslausunto on erittäin tärkeä kolmansien osapuolten vakuuttamiseksi järjestelmän riittävästä tietoturvallisuudesta.

Puheenvuoron lopuksi korostin kyberturvatietoisuuden levittämisen tärkeyttä sekä kuvasin muutamia keskeisiä käytännön vinkkejä ohjelmistovarmuuden parantamiseen.

 

Kyberturvallisuuden tapahtumat herättivät kiinnostusta niin Helsingissä kuin Oulussakin

Marras-joulukuun vaihteessa järjestimme myös Oulussa aamiaisseminaarin yhteistyössä Arctic Security Oy:n sekä Rugged Tooling Oy:n kanssa. elfGROUP:n puheenvuorossa toin esille samoja aiheita, tällä kertaa hieman enemmän ohjelmistotuotannon näkökulmaa painottaen.

Oli ilahduttavaa nähdä, että niin Helsingin kuin Oulunkin tapahtumassa oli runsaasti kiinnostuneita osallistujia. Pidetään yhdessä kyberturvallisuutta ja ohjelmistovarmuuden kehittämistä esillä!

Cyber-Security-Executive-2018-1

 

Lataa esitysmateriaali

Lataa Tuomaksen esitysaineisto, ja pidä nämä tärkeät pointit mielessä myös tulevaisuuden ohjelmistokehityshankkeissasi!

Share This Story, Choose Your Platform!

About the Author: Tuomas Tonteri

Tuomas Tonteri

Tuomas Tonteri on elfGROUPin perustaja ja toimitusjohtaja. Taustaltaan Tuomas on koodari, softa-arkkitehti ja tietoturvakonsultti, pesunkestävä nörtti siis – ja ylpeä siitä! Työssään Tuomas on ennen kaikkea kyberturvallisuusasiantuntija muiden elfGROUPin asiantuntijoiden joukossa, ja tämä näkyy myös yrityskulttuurissa. Vapaa-aika kuluu pitkälti tekniikan ja perheen parissa, hölkkäilyä ja muuta kuntoilua unohtamatta.