Tietoturvasta puhuttaessa keskustelu liittyy usein isoihin ja kansainvälisiin organisaatioihin, koska luonnollisesti suurimmat tietoturvauhat ja -riskit kohdistuvat juuri tällaisiin toimijoihin. Suomessa suuria yhtiöitä on kuitenkin melko vähän ja maan noin 290 000 yrityksestä hyvin merkittävä osa on pk-yrityksiä. Yli 90 prosentissa maan yrityksistä työskentelee alle 10 ihmistä. Aina yrityksen koko henkilömäärään perustuen ei kuitenkaan määritä tietoturvatarpeita – henkilömäärältään pienehkön yrityksen liiketoiminta saattaa olla taloudellisesti tai huoltovarmuuden näkökulmasta merkittävää. Pienenkin yrityksen liiketoiminta saattaa vaikuttaa suureen määrään toisia yrityksiä tai isoon joukkoon kuluttajia.
Pk-yrityksen tietoturva
Pienempien yrityksien osalta asetelma tietoturvan suhteen on usein hyvin erilainen verrattuna suuriin organisaatioihin. Pienemmissä yrityksissä on harvoin pelkästään tietoturvaan erikoistuneita tai keskittyviä henkilöitä, ja usein tietoturva nivoutuu IT:stä tai toisinaan hallinnosta tai taloudesta vastaaville henkilöille, joskus jopa yhtiön toimitusjohtajalle. Edellä kuvattu tilanne voi olla hyvinkin toimiva käytännössä, jos henkilöllä on työkokemusta tai koulutustaustaa tietoturvaan liittyen tai hän on aiheesta motivoitunut oman kiinnostuksensa kautta. Varsin usein pk-yrityksen tietoturvasta vastaavan henkilön työkuorma on kuitenkin huomattavan korkea jo pelkistä työnkuvan ydintehtävistä ja usein työajan käytössä vaaditaan tiukkaa priorisointia. Näissä tapauksissa tietoturva-asiat eivät välttämättä päädy listan kärkipäähän ja esimerkiksi ohjelmiston riittävä tietoturvatestaus saattaa jäädä huomioimatta. Pk-yrityksissä tietoturvabudjetti on yleensä osa IT-budjettia ja tietoturvaan käytettävät eurot harkitaan tarkkaan. Pienemmissä yrityksissä tietoturvatekeminen on myös pistemäistä eikä tietoturvatyötä ohjaa samanlainen pitkäjänteinen suunnittelu, kuin vaikkapa muussa IT-työssä. Second Nature Security (2NS) osaa toimia myös pienemmän yhtiön tehokkaana tietoturvakumppanina, jolloin kaikkea tietoturvaan liittyvää osaamista ja tietotaitoa ei tarvitse löytyä omasta organisaatiosta.
Olemme 2NS:ssä havainneet, että tietoisuus ja kiinnostus tietoturvaa kohtaan on noussut voimakkaasti myös pk-yrityksissä viimeisten vuosien aikana. Julkisuutta saaneet tietomurrot ja erilaiset haittaohjelmahyökkäykset huolestuttavat luonnollisesti myös pienten ja keskisuurten yritysten kentässä. Hyvänä esimerkkinä tietoturvapalveluita enenevässä määrin hankkivista tahoista ovat pienemmät teknologiayritykset, jotka tuottavat ohjelmistoja muiden organisaatioiden käyttöön. Pk-yrityksen valmistama ohjelmisto voi olla satoja miljoonia tai jopa miljardeja euroja vaihtavan kansainvälisen konsernin käytössä ja vaatimukset ohjelmistojen tietoturvalle tulevat asiakassopimusten kautta vaikuttamaan myös pienempien yritysten prosesseihin ja liiketoimintaan. Tietoturvavaatimukset kiristyvät jatkuvasti, kun ostajat osaavat vaatia tietoturvaa myös toimittajaketjultaan.
2NS palvelee vuosittain hyvin eri kokoisia ja eri toimialoilla toimivia suomalaisia- ja kansainvälisiä yrityksiä sekä kotimaista julkishallintoa. Asiakaskunnassamme on lukuisia suuria toimijoita, mutta merkittävissä määrin myös pk-yrityksiä. Noin 50 hengen kasvuyhtiönä ymmärrämme erinomaisesti myös pienempien organisaatioiden näkökulman tietoturvan suhteen. Ehdottomia vahvuuksiamme toimiessamme pk-yritysten kanssa ovat asiakaskeskeinen toimintatapamme, henkilökohtainen palvelu, kustannustehokkuus, joustavuus sekä tekemämme työn korkea laatu projektin koosta riippumatta.
Turkulainen ohjelmistoyritys Derigo kiinnostui projektinhallintaohjelmistonsa tietoturvatestauksesta
Esimerkkinä pk-yrityksen tuottaman ohjelmiston menestyksellisestä tietoturvatestaamisesta on turkulainen Derigo Oy, jonka Pro3-projektinhallintaohjelmistoa hyödynnetään esimerkiksi rakennus- ja laivateollisuudessa sekä talotekniikassa. Heidän referenssiasiakkaitaan ovat mm. Are Oy, Consti Oyj, Lujatalo Oy ja NCC Suomi Oy. Derigon ohjelmistolla on maailmanlaajuisesti yli 6000 loppukäyttäjää. Derigo ja 2NS keskustelivat vuoden 2022 alkupuolella Pro3-ohjelmiston tietoturvatestauksesta. Ohjelmistoa oli testattu jo muutamaa vuotta aiemmin, mutta sen jälkeen sitä oli myös kehitetty monella tavoin.
Tietoturvatestaus ja sen toteuttaminen
2NS:n hyödyntämät ohjelmistojen tietoturvatestausmenetelmät pohjautuvat yleisesti tunnettuihin tietoturvakäytäntöihin, kuten OSSTMM (Open Source Security Testing Methodology Manual) ja OWASP ASVS (Open Web Application Security Project – Application Security Verification Standard) -dokumentaatioihin, sekä ajantasaiseen tietoturvauhkista ja haavoittuvuuksista saatavilla olevaan tietoon yhdistettynä asiantuntijoidemme vankkaan kokemukseen. Tietoturvatestaus tehdään aina asiakkaan yksilöllisten tarpeiden mukaan. Derigon Pro3-sovellus testattiin kattavasti käyttäjän sekä potentiaalisen hyökkääjän näkökulmasta. OWASP-dokumentaation testien lisäksi suoritettiin myös muita testejä, jotka asiantuntijamme näkivät tarpeelliseksi tietoturvauhkien ja -heikkouksien selvittämiseksi.
Kun varsinainen tietoturvatestaus oli tehty, kävimme Derigon edustajien kanssa läpi työn lopputulokset ja asiantuntijoidemme tekemät havainnot. 2NS:n suorittamaan ohjelmistojen tietoturvatestaamiseen kuuluu aina kattava raportointi, jonka avulla asiakas saa käsityksen havaintojen ja heikkouksien vaikuttavuudesta ja kriittisyydestä CVSS (Common Vulnerability Scoring System) -luokittelun mukaisesti. Koemme 2NS:llä, että laadukas raportointimme ja antamamme palaute auttaa asiakkaitamme ymmärtämään, miten heidän kannattaa edetä havaintojen korjaamisessa ja myös missä aikataulussa tietoturvaa parantavat työt kannattaa suorittaa. Usein palaute auttaa asiakasta myös kehittämään ohjelmistotuotekehitysprosessiaaan kokonaisuutena ja tuomaan hyviä käytäntöjä heidän sovelluskehittäjilleen.
Derigon projektissa asiakkaan tekemien muutosten jälkeen suoritimme heille tehdyt korjaukset varmentavan verifiointiauditoinnin ja laadimme heille tietoturvalausunnon osoituksena suoritetusta ohjelmiston tietoturvatestauksesta. Derigo voi tällä dokumentilla hyvillä mielin kertoa omilleen asiakkailleen, että Pro3-ohjelmiston tietoturvasta on huolehdittu asianmukaisesti ja laadukkaasti.
Kokemukset
Koko projekti sujui erinomaisesti molempien osapuolten näkökulmasta, tietoturvatestaus toteutettiin aikataulussa ja kustannustehokkaasti. Derigon edustajien kanssa työskentely oli alusta lähtien miellyttävää ja heidän kiinnostuksensa ja motivaationsa tietoturvan suhteen olivat korkealla tasolla. Derigo ilmaisi, että he haluavat tehdä tietoturvatestaamisesta säännöllistä ja olemme valmiita 2NS:llä auttamaan heitä siinä jatkossakin. Säännöllisen testauksen ansiosta voimme seuraavilla testauskierroksilla painottaa hieman erilaisia tulokulmia, koska ohjelmisto on jo tuolloin tuttu asiantuntijoillemme ja jo kattavasti testattu. Tällainen lähestymistapa parantaa edelleen Pro3-ohjelmiston tietoturvan laatua ja tuo tietoturvan parantamisen osaksi Derigon liiketoiminnan ja ohjelmistokehityksen prosesseja. 2NS:lle oli erittäin positiivista huomata, että Derigo koki selkeästi saavansa lisäarvoa omalle liiketoiminnalleen projektista. Kiteytetysti voidaankin sanoa, että hyvin toteutettu tietoturva tuo Derigolle ja myös heidän asiakkailleen mielenrauhaa.
Derigon CTO Antti Lehtonen:
Halusimme varmistaa, että Pro3 tuotteemme vastaa nykyisiä tietoturvavaatimuksia. 2NS oli juuri sopivaan aikaan meihin yhteydessä ja pääsimme nopeasti yhteisymmärrykseen auditoinnista ja sen laajuudesta.
Yhteistyö projektin aikana oli helppoa ja sujuvaa. Kun tarvittavat tunnukset ja tiedot oli toimitettu 2NS:lle, ei meidän tarvinnut kuin jäädä odottamaan auditoinnin tuloksia. Auditoinnin tulokset käytiin kattavasti läpi ja löydettyjen havaintojen korjaamiseen annettiin selkeät ohjeet, joiden perusteella teimme vielä muutamia parannuksia sovellukseen.
Kokonaisuudessaan projekti sujui meidän näkökulmastamme vaivattomasti. Verifiointiauditoinnin jälkeen saamamme tietoturvalausunto on osoittautunut hyväksi ja luotettavaksi keinoksi todistaa sovelluksemme tietoturvan taso sekä nykyisille että uusille asiakkaille.