Usein kysyttyjä kysymyksiä Tietoturvasertifikaatista

Ohjelmisto- ja e-business ry:n sertifiointiohjelmassa tarkastettavan kohteen tietoturva varmennetaan käyttäen parhaita käytäntöjä, kuten OWASP ASVS –viitekehystä, soveltuvin osin. Käytettävät viitekehykset riippuvat paljon kohteen tyypistä ja luonteesta.

Tarkastuksen suorittaa kyberturvallisuusyhtiö 2NS (Second Nature Security Oy), joka on tehnyt yli 1 500 verkkopalvelun tietoturvatarkastusta sekä Suomessa että kansainvälisesti (Pohjoismaat, Keski-Eurooppa, Yhdysvallat). 2NS palvelee vuosittain yli 150 tyytyväistä asiakasta (Yritykset, finanssilaitokset, julkinen sektori, ohjelmistoyritykset).

2NS:n auditoijilla on useita kansainvälisesti tunnettuja tietoturvasertifikaatteja, kuten:

  • CISSP (Certified Information Systems Security Professional)
  • CISA (Certified Information Systems Auditor)
  • CISM (Certified Information Systems Manager)
  • CRISC (Certified in Risk and Information Systems Control)
  • OSCP (Offensive Security Certified Professional)

2NS:n haavoittuvuustutkimustiimi on julkaissut useita haavoittuvuustiedotteita, muun muassa SAP:n, Oraclen, F-Securen, IBM:n ja HP:n järjestelmistä.

Suurin osa työstä on manuaalista testausta eli eettistä hakkerointia. Testauksien apuna käytetään myös testaussovelluksia. 2NS evaluoi jatkuvasti eri tietoturvatestaustyökaluja ja hyödyntää kulloinkin parhaaksi näkemäänsä valikoimaa. Kaikissa testauksissa hyödynnetään useampaa soveltuvaa työkalua. 

On kuitenkin hyvä muistaa, että työkalut ovat testauksessa avustavassa roolissa ja liiketoimintaloogiset sekä merkittävimmät haavoittuvuudet havaitaan yleensä manuaalisella testauksella, hakkerimaisella osaamisella sekä useita haavoittuvuuksia yhdistelemällä.

Käytännössä kaikissa palveluissa on haavoittuvuuksia. Verkkopalveluiden tietoturvatarkastuksia tekevien yritysten tarkastuksista yleisesti 100 % johtaa siihen, että haavoittuvuuksia korjataan. Haavoittuvuudet ovat näin ollen erittäin yleisiä ja parhaimmissakin sovelluksissa niitä yleensä on. Tietoturvatarkastuksen on tarkoitus auttaa tunnistamaan haavoittuvuudet, jotta niille voidaan tehdä korjaus ja sitä kautta parantaa tuotteen laatua. Tietoturvatestaus on käytännössä testausta siinä missä muukin ohjelmistoon kohdistuva testaus.

SaaS-yrityksen tulee järjestää pääsy tarkastettavaan sovellukseen sekä luoda tarvittavat tunnukset. Tarkastus viedään läpi selkeän mallin mukaisesti, johon kuuluu projektin määrittelypalaveri ja 2NS:n tekemä testaus. Lisäksi pidetään tulosten esittelytilaisuus, jossa keskustellaan haavoittuvuuksista, niiden käytännön merkityksestä sekä korjaussuosituksista.

Tietoturvatarkastuksella pyritään kattamaan kohdepalvelu riittävän laajasti pitäen työmäärän kohtuullisena. Työ tehdään rajatun työmäärän puitteissa ja on olemassa mahdollisuus, että palvelusta saattaa löytää haavoittuvuuksia, joita tarkastuksessa ei ilmennyt, tai alueista, jotka eivät olleet tarkastuksen kohteena. Täydellistä tietoturvaa ei millään tarkastuksella voida valitettavasti taata.

Kyllä, korjaukset tarkastetaan soveltuvin osin.

Korjauksien tarkastuksessa tarkastetaan varsinaisessa tarkastuksessa ilmenneet haavoittuvuudet. Tarkastuksessa varmennetaan, että korjaukset on tehty asianmukaisesti ja että implementoidut korjaukset eivät ole ohitettavissa. Nämä raportoidaan SaaS-yritykselle. Korjausten tarkastuksen hinnat perustuvat tarkastukseen vaadittavaan työmäärään, joka riippuu korjattujen haavoittuvuuksien/puutteiden lukumäärästä ja niiden vaatimasta työmäärästä. Yleisesti korjausten verifioinnin hinta on 2,5–5 k€.

Lausunnossa ilmoitetaan sen kirjoittamispäivä sekä ajankohta, jolloin testaus on suoritettu.

Tietoturvatarkastuksessa käydään aina samat tai päivitetyt kriteerit läpi. Tämän vuoksi jokaisen tarkastuksen hinta on sama, jos kohteiden laajuus pysyy samana.

Ohjelmisto- ja e-business ry haluaa nostaa Suomen ohjelmistoalan tietoturvaa kokonaisuutena – niin tietoisuutta aiheesta kuin SaaS-palveluiden ja ohjelmistojen tietoturvallisuutta. Tietoturva on kilpailuvaltti SaaS-palvelun tai ohjelmiston tuottajan osalta, jota kannattaa aktiivisesti käyttää. 

Myös SaaS-palvelujen ja ohjelmistojen ostajien tietoturvaymmärryksen ja –valveutumisen lisääminen edesauttaa toimialan kehitystä. Saadun palautteen perusteella sertifikaatit ovat toimineet leimana laadusta, ja edesauttaneet kauppojen syntymistä.

Ohjelmisto- ja e-business ry toimialan edistäjänä kävi läpi kymmenien eri elinkaaren vaiheessa olevien yritysten johdon kanssa, millaista sertifiointiohjelmaa toivottaisiin. Lopuksi keskusteltiin usean FISC:in (Finnish Information Security Cluster) jäsenyrityksen kanssa ohjelman toteuttamisesta. Päädyimme valitun kumppanin (2NS) kanssa tarjoamaan nykyistä mallia, sekä kehittämään sertifiointiohjelmaa edelleen.

Tee yhteydenottopyyntö täällä niin palaamme pian asiaasi!