Security By Design: Tietoturva osaksi sovellusten elinkaarta

Toukokuussa 2018 voimaan astunut EU:n tietosuoja-asetus vaatii tietoturvan huomioimista jo suunnitteluvaiheessa (Security By Design). Tietosuoja-asetuksen noudattamisessa on kiinnitetty paljon enemmän huomiota tiedon keräämiseen ja käsittelyyn liittyviin prosesseihin. Yksityisyyden suojan kannalta on tärkeää ottaa huomioon myös riittävä tekninen tietoturva sovellusten kehitysprosessissa. 

Perinteisesti sovelluskehitys on usein tapahtunut niin, että projektin aikana on tarkistuspisteitä, joissa varmistetaan että tietoturva on otettu huomioon asianmukaisella tavalla. Jos vaatimukset eivät täyty, saatetaan vaatia suuriakin muutoksia ennen kuin projekti voi edetä seuraavaan vaiheeseen. Oli kyse sovelluskehityksestä tai talon rakentamisesta, muutosten tekeminen on sitä kalliimpaa ja hankalampaa mitä myöhäisemmässä vaiheessa niitä tehdään.

Tämä malli ei myöskään sovi kovin hyvin nykypäivän ketterään kehitysmalliin. Tietoturvan varmistaminen voi olla aikaa vievää ja useimmissa organisaatioissa tietoturva-asiantuntijat ovat ylityöllistettyjä. Usein nähdään tilanteita, joissa tietoturva päätetään ohittaa jopa kokonaan, koska se nähdään liikaa kehittämistyötä hidastavana ja hankaloittavana tekijänä.

Integroitua tietoturvaa DevSecOps-mallin avulla

Miten yhä pahempia uhkakuvia sisältävässä, mutta entistä nopeampaan kehitystahtiin pyrkivässä toimintaympäristössä saataisiin sitten tietoturva otettua huomioon? Kuten DevOps tuo kehitys- ja ylläpito-organisaatiot lähemmäksi toisiaan, puhutaan DevSecOpsista, jossa tarkoituksena on tuoda tietoturva paremmin mukaan kehitykseen ja operointiin. Usein ajatellaan että DevSecOps -malli tarkoittaa automaattista tietoturvatestausta, mutta kyse on ennen kaikkea organisaation siilojen purkamisesta ja  tiedonkulun parantamisesta.

DevSecOps -mallissa keskeistä on viestiä kehitystiimeille tietoturvan tärkeydestä sekä opettaa hyödyntämään tietoturvallisia kehityskäytäntöjä. Kehittäjille voidaan tarjota työkaluja ja malleja, joilla ohjataan automaattisesti noudattamaan tietoturvavaatimuksia. Muita keinoja on kouluttaa kehittäjiä tyypillisimmistä haavoittuvuuksista ja miten ne voidaan välttää. Tavoitteena on siis välttää jo ennakkoon tietoturvaongelmien muodostuminen. Jotta saataisiin riippumaton näkemys sovellusten tietoturvasta, kannattaa erillisen osapuolen vielä tarkastaa kehittäjän lopputuotteet.

Tietoturvatestausprosessin tehostaminen automatisoimalla

Manuaalisten tarkistuksien sijaan voidaan hyödyntää automatisoitua tietoturvatestausta, joka auttaa integroimaan tietoturvatestauksen osaksi kehitysprosessia. Pelkkien automaattisten työkalujen lisäksi on ymmärrettävä myös miten ne saadaan integroitua kehitysprosessiin. Kun tietoturvatestaus tapahtuu hidastamatta tai hankaloittamatta kehittäjän työtä, myös muutosvastarinta on pienempää. Jos ja kun sovelluksissa havaitaan tietoturvapuutteita, kehitysprosessiin integroidut, automatisoidut työkalut auttavat tunnistamaan ne mahdollisimman aikaisessa vaiheessa. 

Lopuksi tärkeää on muuttaa tietoturvaorganisaation rooli enemmän pelottelusta siihen, että valistetaan tietoturvan tärkeydestä ja konkreettisesti oikeista tavoista tehdä asioita. Tuskin kukaan tekee tarkoituksella haavoittuvaisia sovelluksia. Usein kyse on joko siitä että laadun sijaan priorisoidaan kustannuksia tai aikataulua, tai ei tiedetä oikeita tapoja tehdä asioita. Valistamisella, ohjeistamisella ja riippumattomalla tietoturvatestauksella saadaan tilannetta muutettua niin että haavoittuvuuksien päätyminen tuotantoon asti vähenee – ellei päädytä ottamaan tietoisia riskejä.

Lataa tuore World Quality Report

Sogetin vuosittain julkaiseman World Quality Reportin mukaan digitaalisen laadunvarmistuksen ja testauksen tärkein tehtävä on varmistaa, että kehitysprojektit täyttävät liiketoiminnan niille asettamat tavoitteet. Raporttia varten on haastateltu yli 1700 CIO:ta ja teknologiajohtajaa 32 maasta ja useilta eri toimialoilta. Käy lukemassa tuoreimmasta raportista mm. miten tekoälyn avulla voidaan tehostaa testausprosesseja, mitkä ovat parhaat käytännöt testidatan hallintaan ja miten tietoturvan merkitys kasvaa yritysten IT-strategiassa. Lataa raportti tästä.