Tietoturvaltaan täydellistä ohjelmistoa ei ole

Täydellistä en ole vielä löytänyt, naurahtaa ohjelmistotestausta tarjoavan Sogeti Suomen johtava tietoturvakonsultti Ari Vorne, viitaten tietysti ohjelmistoihin ja niiden tietosuojaan. Tapaamme aamukahvipalaverissa suunnitellaksemme tulevaa palvelujulkistusta, mutta keskustelumme ajautuu pian sivuraiteille; ihmettelemme yhdessä, kuinka yhä useammasta yrityksestä on saatu imuroitua henkilö- ja luottokorttitietoja. Jopa itse suuri ja kaunis NSA on hakkeroitu. Tiedostaessa hakkeroinnin kehittyvän entistä ammattimaisemmaksi ja iskujen yhä kohdistetummiksi, voisi helposti tuntea jopa voimattomuutta. Mutta sillä asenteellahan ei tätä peliä voiteta.

Ohjelmistojen tietoturva ei ole itsestäänselvyys

Lähes kaikkiin ohjelmistoihin jää kehitettäessä haavoittuvuuksia. Niin ei Arillakaan ole vielä täydellistä tullut vastaan. Hän toteaakin, että tämä on ymmärrettävää, koska täydellisyys tuppaa maksamaan. Yhä useammin tietoihin päästäänkin käsiksi juuri ohjelmistoihin jääneiden haavoittuvuuksien kautta.

Ongelma koskettaa tavalla tai toisella jokaista suomalaisyritystä, sillä lähes kaikissa yrityksissä vähintäänkin säädetään käytettyjen ohjelmistojen toiminnallisuutta, mikä lisää tietoturvariskiä. Lisäksi puolessa kaikista suomalaisyrityksistä tehdään omaa ohjelmistokehitystä, josta vain alle 10 prosenttia testataan haavoittuvuuksia vastaan, arvioi Ari. Tämä luonnollisesti kasvattaa syytä huoleen entisestään. Useimmin testaus tehdään avoimen koodin hakkerointityökaluilla, sillä luotettavaa ja kohtuuhintaista työkalua ei ole ollut saatavilla. Mutta nyt on, toteaa Sogetin Ari.

Tietoturvan tulevaisuus

Tietoturvasta tulisi huolehtia jo kehitettävän ohjelmiston määrittelyvaiheessa ja pitää huolta sen koko elinkaaren ajan. Tämä on edullisin ratkaisu. Jos testaus ei itsessään vielä huolestuta, niin hintalappuhan on jo joka tapauksessa olemassa; siitä vastaa EU:n tietosuojauudistus, joka astuu voimaan toukokuussa 2018. Edullisemmaksi mitä todennäköisemmin tulee, kun testataan haavoittuvuudet systemaattisesti ja vältytään näin ikävyyksiltä jo etukäteen.

Jos haluat kuulla lisää ohjelmistotestauksesta ja tietoturvapalveluista,  ilmoittaudu mukaan maksuttomaan tietoturvaseminaariimme.

Sogeti tarjoaa kokonaisvaltaista ohjelmistotestausta, toiminallisuuksista tietoturvaan. Sogetin 130 testauksen eri osa-alueiden ammattilaista tarjoavat palveluita, jotka kattavat ohjelmiston koko elinkaaren, määrittelystä käyttöönottoon.

Avainsanat: tietoturva

Kommentit