Close

Tietoturva sulautettujen järjestelmien ohjelmistosuunnittelussa

Onko mahdollista luoda Internet of Things-järjestelmiä, jotka ovat erinomaisia tietoturvan suhteen? Tai IoT-laitteita, jotka ovat verkkorikollisille ja hakkereille tuskallisen vaikeita hakkeroida?  Yksi asia on varma: turvallisuuden lisääminen jälkeenpäin on lähes mahdotonta; turvallisuusnäkökohdat on otettava huomioon jo tuotekehityshankkeen alussa.

Luo tuotteelle suojausmalli. Tärkeimpien ominaisuuksien ja uhkien ymmärtäminen ovat keskeisiä kysymyksiä uuden tuotteen suojausmallin luomisessa. Suojausmallin luominen tarkoittaa turvatarkastusten suunnittelua siten, että tunnistetut uhkat lievennetään ja hyökkäyspinta minimoidaan. Nämä ovat tietoturvan suunnittelun keskeisiä periaatteita.

 

Tietoturvan suunnittelu ja DevSecOps

 

Etteplanilla tietoturvan suunnittelun periaate otetaan vakavasti. Esimerkiksi uhkien mallinnus tietoturva-asiantuntijoiden avulla auttaa kehitystiimejä tunnistamaan uhat ja suunnittelemaan asianmukaiset torjunnat. Uhkien mallinnus sekä muut tietoturvatyökalut ja -menetelmät tekevät tuotteista riittävän tasoisia liitettäväksi turvallisuuden kannalta kriittisiin järjestelmiin.

Kutsumme prosessiamme DevSecOpsiksi. Turvallisuus on kaikkien vastuulla ja se on integroitu tuotekehitysprosessiimme. Palvelumme arvo on se, että asiakkaan ei tarvitse huolehtia tietoturvasta, kun tuote on valmis. Etteplan pystyy huolehtimaan tuotteen ylläpidosta ja pitämään huolta siitä, että uudet haavoittuvuudet korjataan ripeästi ja asianmukaisesti.

 

‘Fuzzaus’ on hauskaa ja HW debugger mielityökalumme

 

Yksi konkreettinen esimerkki tietoturvan ydinosaamisestamme on negatiivinen testaus, esim. fuzzing bluetooth-protokollan avulla. Fuzzing on yksi tehokkaimmista tavoista löytää 0-päivän haavoittuvuuksia esimerkiksi uusimmissa IoT-protokollissa. Lue lisää fuzzingista täältä.

Myös intohimo työskennellä laitteistojen kanssa, esim. oskilloskooppien ja erilaisilla HW-debuggerien kanssa leikkiminen tekee ihmisistämme loistavia laitteistohakkereita!

 

Lukuvinkki

 

Lukuvinkki turvallisen ohjelmistokehityksen ymmärtämiseksi on Ficora’n (Finnish Communications Regulatory Authority) ohjeistus turvalliseeen tuotekehityksen ’Turvallinen tuotekehitys’: https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Turvallinen_tuotekehitys_003_2018J.pdf 

 

Harri Susi

Harri Susi

Team Leader, SW testing & Cyber security specialist
+358 10 307 2736
Lähetä viesti

Kysy meiltä, asiantuntijamme Harri Susi vastaa

Asiantuntijamme on sinuun yhteydessä saatuaan viestisi. Lähettämällä viestin, hyväksyt tietosuojaehtomme (Privacy Statement).

Voit olla kiinnostunut myös näistä

Ota yhteyttä
Harri Susi
Harri Susi
Team Leader, SW testing & Cyber security specialist