Miten tietoturvatestauksen tulokset kannattaa käydä läpi? Mitkä tietoturvaraportin kohdat ovat olennaisia johdolle, kehittäjille ja muille sidosryhmille? Tässä blogitekstissä käymme läpi tietoturvaraporttimme rakenteen, avaamme kunkin osion merkitystä ja annamme vinkkejä, joiden avulla yrityksesi voi muuttaa löydökset tehokkaaksi toimintasuunnitelmaksi.
Miksi raportti tehdään ja keille se on suunnattu?
Konsultoinnin kautta ostetun tietoturvatestaamisen lopputuotteena on yleensä tietoturvaraportti. Konsultti tekee testauksen usein etänä, joten raportti on selkein tapa saada näkyväksi mitä projektin aikana on tehty. Vaikka raportin tekeekin tekninen tietoturvatestaaja, ei se silti tarkoita, että raportti olisi tarkoitettu vain teknisille henkilöille.
Raportilla on useita eri käyttötarkoituksia ja se on suunnattu monille eri sidosryhmille. Esimerkiksi yrityksen johto voi olla kiinnostunein raportin tiivistelmästä, jossa lyhyesti käydään läpi mitä on löytynyt ja mitä suositellaan tehtävän seuraavaksi, ja toisaalta ohjelmistokehittäjä voi saada eniten irti raportin teknisemmästä puolesta eli havaintojen läpikäynnistä.
Raporttia voidaan ajatella myös apuvälineenä ohjelmistokehityksen kehityssuunnitelmaa tehdessä ja tulevaisuuden päätöksiä suunniteltaessa. Yritys voi kasvattaa myös luottamusta asiakkaidensa silmissä tekemällä säännöllisesti tietoturvatestausta ja meiltä 2NS:ltä voi pyytää lausunnon tästä.
Raportin osa-alueet
1. Johdon tiivistelmä
Johdon tiivistelmässä annetaan yleiskuva raportin sisällöstä. Siinä kerrotaan kuinka monta haavoittuvuutta tai muuta huomiota mistäkin testatusta osa-alueesta on löytynyt. Tämän lisäksi mainitaan lyhyesti mitä nämä löydöt voivat aiheuttaa ja minkälaisia jatkotoimenpiteitä suosittelemme.
2. Johdanto
Johdannossa käydään läpi mitkä järjestelmät kuuluivat tietoturvatestaukseen ja listataan myös mahdolliset osa-alueet, joita ei testattu. Osiossa kuvataan myös testauksen sovittu ajankohta ja kuinka havaintoja tulisi tulkita.
3. Löydöt
Löydöt osio on 2NS:llä jaettu haavoittuvuuksiin ja heikkouksiin. Haavoittuvuudet ovat nimensä mukaisesti haavoittuvuuksia, jotka ovat jollain tavalla hyväksikäytettävissä ja voivat aiheuttaa vakavampia vahinkoja. Löydetyt heikkoudet taas eivät välttämättä ole suoraan hyväksikäytettävissä, vaan ovat enemmän niin sanottuja ”parhaita käytäntöjä” järjestelmien tietoturvalliseen kehittämiseen.
Raportilla haavoittuvuudet ja heikkoudet näyttävät varsin samanlaisilta, erona on vain se, että haavoittuvuuksissa kerrotaan tarkemmin, kuinka vakavasta löydöstä on kyse. Molemmissa löydöissä on ensin kerrottu hieman taustatietoa siitä, mihin löytö liittyy, jonka jälkeen kerrotaan yksityiskohtaisesti, kuinka löytö on tehty ja kuinka sen voi toisintaa. Tämä osio on merkityksellinen sekä tietoturvatestauksen tilanneen yrityksen ohjelmistokehittäjille että mahdollisille myöhemmin järjestelmän uudelleen testaaville tietoturvatestaajille, jotta he osaavat toisintaa löydön ja tarkistaa onko se korjattu.
4. Loppuliitteet
Loppuliitteissä kuvataan mitä testauksen aikana on tehty ja millaisilla työkaluilla. Osiossa myös kuvataan lyhyesti, mitä erilaiset haavoittuvuusluokat tarkoittavat ja miten suosittelemme löydökset korjattavan.
Kuinka saada eniten irti tietoturvaraportista
Tietoturvaraportin on tarkoitus tuottaa arvoa tietoturvatestauksen tilanneelle yritykselle, mutta jos raporttia ei käydä ajatuksella läpi, voi arvo jäädä vähäisemmäksi. Seuraavia vinkkejä hyödyntämällä raportista saa parhaimman hyödyn irti.
Valmistaudu raportin läpikäyntipalaveriin
Käymme aina raportin läpi työn tilanneen yrityksen kanssa ja lähetämme raportin hyvissä ajoin ennen läpikäyntipalaveria. Parhaimman hyödyn raportista ja sen läpikäynnistä saa tutustumalla raporttiin ja sen sisältöön ennalta. Näin voimme vastata mahdollisiin kysymyksiin raporttiin tai testaukseen liittyen jo heti palaverin aikana ja varmistaa, että kaikki löydökset on avattu ymmärrettävästi.
Varmista, että raportilla on omistaja
Jos kukaan ei ole vastuussa raportista, jää se helposti hyödyntämättä kunnolla. Varmistamalla, että joku ottaa asiakseen raportissa käytyjen asioiden viemisen eteenpäin, tulee mahdolliset korjausehdotukset käytyä kunnolla läpi ja mahdolliset seuraavat askeleet tietoturvatestauksen jälkeen tulee sovittua.
Löytöjen korjaamisen priorisointi
Raportilla voi joskus olla paljonkin löytöjä. Tällöin kaikki löydöt kannattaa käydä läpi ja päättää missä järjestyksessä mahdolliset korjaukset tehdään, vai korjataanko joitain löytöjä ollenkaan. Kuten aiemmassa osiossa mainittiin, eivät kaikki löydöt ole keskenään saman arvoisia. On testauksen tilanneen yrityksen päätös, minkä löytöjen kohdalla voidaan ottaa tietoinen riski jättämällä korjaus kokonaan tekemättä tai siirtämällä se korjattavaksi vasta myöhemmässä vaiheessa.
Korjausten uudelleentestaaminen
Kun korjaukset on saatu tehtyä, kannattaa harkita löytöjen uudelleentestaamista. Erityisesti jos raportilla oli edes yksi korkeamman vakavuustason tai useita matalamman tason löytöjä, on hyvä varmistaa, etteivät löydöt ole enää hyväksikäytettävissä korjaamisen jälkeen. Tällainen testaus on yleensä halvempi kuin varsinainen testaus, koska aikaa menee vain jo löydettyjen haavoittuvuuksien läpikäyntiin ja usein se saadaan tehtyä 1-2 päivässä.
Tietoturvaraportti on enemmän kuin vain lista uhkia
Tietoturvaraportti ei ole pelkkä tekninen dokumentti, vaan se on monipuolinen apuväline, joka palvelee eri sidosryhmiä eri tavoin. Sen arvo ei piile pelkästään yksittäisissä havainnoissa, vaan siinä, miten raportti auttaa hahmottamaan kokonaiskuvaa ja ohjaa yritystä kohti tietoturvallisempaa kulttuuria. Raportti voi toimia erinomaisena työkaluna riskienhallinnassa, päätöksenteossa ja tietoturvan ottamisessa huomioon jo järjestelmän kehitysvaiheessa.
Tarvitseeko yrityksenne tietoturvatestausta?