Tietoturvaraporteista on useita erilasia oletuksia, jotka eivät aina ole ihan totuudenmukaisia. Tässä blogissa avaamme yleisiä oletuksia, joita olemme kuulleet ja korjaamme niihin liittyvät harhaluulot. Aiemmassa blogissamme kerroimme tietoturvaraportin eri osista ja millainen on hyvä tietoturvaraportti. Käy lukemassa aiempi blogimme täältä.
”Matalan tason löytöjä ei kannata korjata”
Yksi yleisimmistä oletuksista on se, että matalan tason löytöjä tai heikkouksia ei kannata korjata, sillä ne ovat niin merkityksettömiä. Tämä voi pitää paikkansa siinä mielessä, että yksistään tällainen haavoittuvuus tai heikkous ei välttämättä aiheuta suuria ongelmia. Löytöjen korjaamisen priorisoinnista yritys voi tehdä itsenäisen päätöksen, mutta päätöksenteossa kannattaa ottaa huomioon matalan tason löytöjen tai heikkouksien määrä.
Varsin usein pelkästään heikkouksia saattaa olla raportoituna lähes kymmenen erilaista. Nämä voivat yhdessä suurentaa todennäköisyyttä vakavamman haavoittuvuuden hyväksi käyttämisen onnistumiseen. Tietoturvaa kuvataan usein sipulimallilla, eli että tietoturvaa kannattaisi ajatella sipulin eri kerroksina. Yksistään yksittäinen kerros ei tee paljoa, mutta kun kerroksia on lisättynä useita, on järjestelmä paljon paremmin suojattu.
”Yksikin löytö tarkoittaa, että tietoturva on epäonnistunut”
Toinen usein kuultu oletus on, että jos järjestelmästä on tehty ollenkaan löytöjä, voidaan ajatella tietoturvan olleen epäonnistunut. Ehkä tähän liittyy se, että harvemmin kuulee yrityksiltä heiltä löydetyistä tietoturvahaavoista, ja paljon useammin vain sitä, että on tehty tietoturvatestaamista. On kuitenkin erittäin harvinaista, että testattavasta järjestelmästä ei tulisi ollenkaan löytöjä raportille. Lähes aina on jotain pientä huomioitavaa tietoturvan näkökulmasta.
Järjestelmiä usein kehitetään ja testataan kehityksen aikana vain yksi ominaisuus tai uusi kokonaisuus kerrallaan ja harvemmin käydään läpi koko järjestelmää kokonaisuutena. Ohjelmistokehittäjille järjestelmä on myös läpeensä tuttu, mikä voi hankaloittaa kokonaisuuden näkemistä uusin silmin. Tämän takia on hyvä, että joku ulkopuolinen käy järjestelmän läpi ja tarkistaa, että kaikki järjestelmän osat toimivat yhdessä tarkoituksen mukaisesti.
Ja vaikka raportille tulisikin paljon löytöjä, emme esimerkiksi 2NS:llä ajattele tätä epäonnistumisena asiakkaamme kannalta. Nykyisten verkkojärjestelmien monimutkaisuus sekä tietoturvauhkien nopea kehittyminen tekee järjestelmien suojaamisesta entistä hankalampaa. Voimme kuitenkin tarpeen mukaan myös auttaa saamaan tietoturvan paremmin osaksi ohjelmistokehitysprosessia.
Minja Silvennoinen, Information Security Specialist
2NS Cybersecurity Oy
Haluatko kuulla lisää tietoturvatestaamisesta?