Close

Miksi digitaalisten ratkaisujen tietoturva kannattaa varmistaa kumppanin tuella

Maailma muuttuu jatkuvasti, ja niin muuttuvat myös sovelluksiin kohdistuvat tietoturvauhat. Menestyvä liiketoiminta edellyttää huolehtimista laitteiden, sovellusten ja tietojärjestelmien tietoturvallisuudesta, ja siihen kuuluu myös ulkoisten ohjelmistoriippuvuuksien ja niiden haavoittuvuuksien hallinta. Se on kuitenkin helpommin sanottu kuin tehty, etenkin jos kaikesta yrittää selvitä omin voimin.

Koska nykyään lähes kaikki laitteet, sovellukset ja tietojärjestelmät ovat tavalla tai toisella yhteydessä internetiin, kyberturvallisuudesta on tullut yhä olennaisempi osa menestyvää liiketoimintaa. Esimerkiksi liiketoimintakriittisten ohjelmistojen päivittäminen voi olla kaksiteräinen miekka: päivitykset tuovat usein välttämättömiä parannuksia ratkaisujen käytettävyyteen, toimivuuteen ja tietoturvallisuuteen, mutta ne voivat samalla johtaa täysin uusiin haavoittuvuuksiin.

Koska ohjelmistoriippuvuudet kehittyvät koko ajan, haavoittuvuuksien hallinta on jatkuva prosessi. Jos laitteessa tai sovelluksessa on tietoturvapuute, rikolliset tai valtiovalta yrittävät käyttää sitä hyväkseen. Tietoturvaloukkauksella voi olla vakavat seuraukset liiketoiminnalle.

Tietoturvallisuudesta tulossa markkinavaatimus

Tähän asti tietoturvaan ei ole kiinnitetty ohjelmistosuunnittelussa läheskään niin paljon huomiota kuin olisi pitänyt. Jopa Euroopan unioni on todennut kyberturvallisuuslaissa, että turvallisuutta ja resilienssiä ei ole yleisesti huomioitu riittävässä määrin suunnitteluvaiheessa, mistä on seurauksena puutteellinen kyberturvallisuus. Tämä on erityisen yllättävää, kun otetaan huomioon, että laitteet ja sovellukset ovat joko suoraan tai välillisesti yhteydessä internetiin. Verkkoyhteydet mahdollistavat uusia digitaalisia liiketoimintamalleja, mutta ne ovat myös merkittävä liiketoimintariski, jos niihin liittyviä uhkia ei tarkastella elinkaari- ja toimitusketjunäkökulmasta.

Tietoturvallisuuden rooli laite- ja ohjelmistosuunnittelussa on kuitenkin nopeasti muuttumassa. Kyberturvallisuuslain myötä EU valmistelee kyberturvallisuuden sertifiointijärjestelmiä, jotka kattavat laitteet, sovellukset ja palvelut/prosessit, mukaan lukien pilvipohjaiset palvelut ja sovellukset. Sertifiointijärjestelmät ovat aluksi vapaaehtoisia, ja vuosina 2023–26 EU päättää, mitkä järjestelmät muutetaan pakollisiksi. Jossain vaiheessa tämä tulee tarkoittamaan, että laitetta tai sovellusta ei voi saattaa EU-markkinoille, ellei siinä ole vaadittuja pakollisia tietoturvaprosesseja ja -toiminnallisuuksia.

IEC 27001 -sarjan standardeja ehdotetaan sovellettavaksi EU:n pilvipalvelujen tarjoajille tarkoitettuun kyberturvallisuusjärjestelmään. Tämä tarkoittaa, että ohjelmistoyritysten kannattaa alkaa harkita investointia esimerkiksi IEC 27001 ‑standardin mukaiseen jetietoturvan hallintajärjestelmään ja valmistautua tarvittaessa sertifioinnin hakemiseen.

Yleisesti ottaen vapaaehtoiset ja pakolliset tietoturvavaatimukset globaaleilla markkinoilla ovat hyvä uutinen kaikille (paitsi rikollisille ja turvallisuudesta piittaamattomille yrityksille). Tietoturvallisuudesta on tulossa keskeinen osa ohjelmisto- ja laitesuunnittelua kehitysprosessin alusta lähtien.

Digitaalisten ratkaisujen tietoturvan ylläpito on jatkuva prosessi

Jatkuva seuranta on ainoa keino todella hallita järjestelmien ja sovellusten ympärillä vaanivia uhkia. Sitä varten pitää olla suunnitelma: jos havaitaan haavoittuvuus tai konkreettinen tietoturvauhka, mitä toimenpiteitä toteutetaan tilanteen hoitamiseksi? Sovelluksen elinkaaren hallinnassa kulmakivet alati muuttuvan uhkamaiseman hallitsemiseksi ovat:

  • Haavoittuvuuksien ehkäisy (mahdollisuuksien mukaan) säännöllisillä järjestelmän tietoturvapäivityksillä, mukaan lukien teknologia- ja kirjastoriippuvuudet, joilla varmistetaan tietoturvan lähtökohtaisesti hyvä taso
  • Järjestelmän kapasiteetin ja toiminnan seuranta poikkeamien ja mahdollisten uhkien tunnistamiseksi
  • Haavoittuvuustietokantojen seuranta uusien tunnettujen haavoittuvuuksien tunnistamiseksi riippuvuuksissa
  • Asiakkaan tietoturvavaatimusten mukaan räätälöity palvelumalli ja palvelutaso.

Elleivät ohjelmistosovellukset ja it-järjestelmät eikä varsinkaan niiden tietoturva satu olemaan ydinliiketoimintaasi, et luultavasti selviä kaikesta tästä omin voimin. Saatat joutua harkitsemaan tietoturvan hankkimista palveluna ja ulkoistamaan tehtävän Etteplanin kaltaiselle luotettavalle kumppanille.

Etteplanin kyberturvallisuusasiantuntijoiden tiimi yhdessä elinkaaren hallintapalvelumme (ALM) kanssa auttaa sinua seuraamaan liiketoimintakriittisiä sovelluksiasi, ratkaisemaan ongelmia, jos havaitaan turvallisuuteen liittyviä haavoittuvuuksia tai muita poikkeamia. Varmistamme myös, että kriittiset sovelluksesi ovat turvallisia. Me hoidamme tämän kaiken, ja sinä voit keskittyä omaan ydintoimintaasi ja nukkua yösi rauhassa.

 

Tero Kivistö

Tero Kivistö

Director, Application Management, Etteplan MORE Software & Embedded Solutions
+358 50 486 7783
Lähetä viesti

Kysy meiltä, asiantuntijamme Tero Kivistö vastaa

Asiantuntijamme on sinuun yhteydessä saatuaan viestisi. Lähettämällä viestin, hyväksyt tietosuojaehtomme (Privacy Statement).

Voit olla kiinnostunut myös näistä