Tietoturva-auditointi vai pentestaus – kumman tarvitset?

Onko hankittu tietojärjestelmä riittävän turvallinen kytkettäväksi Internetiin? Entä mikä järjestelmän tietoturvan taso on? Teknisten järjestelmien tietoturvan arvioinnista käytetään usein eri termejä, vaikka tarve olisikin sama: yksi haluaa tietoturva-auditoinnin, toinen penetraatiotestauksen ja kolmas tietoturvatarkastuksen. Tässä tekstissä pyrimme selventämään tietoturva-auditoinnin ja penetraatiotestauksen merkityksiä ja eroja.

Mitä on tietoturva-auditointi?

Tietoturva-auditointi tarkoittaa tietoturvavaatimusten toteutumisen raportointia. Tyypillisesti auditointia tarvitaan, kun on tarpeen raportoida kolmannen osapuolen vaatimusten toteutumista tietojärjestelmässä. Tällaisia vaatimuksia voivat olla esimerkiksi lait tai regulaatiot, jotka koskevat henkilö- tai terveystietoja. Sovellusturvallisuutta voidaan arvioida esimerkiksi OWASP ASVS -standardin pohjalta.

Tietoturva-auditoinnissa tarkoituksena on raportoida, onko tarkastettu järjestelmä vaatimusten mukainen. Mikäli puutteita havaitaan, ne korjataan. Raportin näkökulmasta tulos on binäärinen: joko ollaan vaatimusten mukaisia tai sitten ei olla. Tietoturva-auditointi vastaa siis siihen, kuinka hyvin tietoturvavaatimukset täyttyvät.

Mitä on penetraatiotestaus?

Penetraatiotestaus on tietoturvahaavoittuvuuksien, puutteiden ja niiden aiheuttaman riskin raportointia. Penetraatiotestauksen kohteena voi olla verkkoon kytketty sovellus, järjestelmä, laite tai niiden muodostama kokonaisuus.

Testauksen tavoitteena on etsiä tietoturvahaavoittuvuuksia, joita hyödyntämällä päästään tunkeutumaan esimerkiksi kohdeorganisaation sisäverkkoon ja palvelimiin. Nimensä mukaisesti testauksessa pyritään ohittamaan suojaukset kerros kerrokselta, kunnes lopulta päästään käsiksi arkaluonteiseen tai muissa hyökkäyksissä hyödynnettävään tietoon.

Penetraatiotestaus

• paljastaa järjestelmäkokonaisuuden tietoturvapuutteet järjestelmä-, verkko- ja sovellustasoilla
• sekä raportoi, minkä tyyppisen riskin puutteet aiheuttavat: vaarantuuko esimerkiksi järjestelmän sisältämä arkaluonteinen tieto vai mahdollistavatko puutteet järjestelmän käyttämistä jalansijana tunkeuduttaessa syvemmälle organisaation verkkoon.

Miten tietoturva-auditointi eroaa penetraatiotestauksesta?

Penetraatiotestaaminen eroaa auditoinnista siinä, että järjestelmän tietoturvavaatimukset eivät johda tekemistä. Tekeminen on luonteeltaan kokeilevaa, adaptoituvaa ja ennen kaikkea luovaa eikä se perustu valmiisiin tarkastuslistoihin tai vaatimuksiin. 

Tietoturva-auditoinnin osana voi olla haavoittuvuusskannaus, mutta haavoittuvuuksia ei useinkaan pyritä aktiivisesti hyödyntämään. Penetraatiotestauksessa haavoittuvuusskannaus on vain yksi työvaihe: havaittuja haavoittuvuuksia pyritään aktiivisesti hyödyntämään uusien tietoturva-aukkojen löytämiseksi. Aktiivisen hyödyntämisen avulla saadaan skannerien raportoimat “väärät positiiviset” (false positive) havainnot poistettua sekä haavoittuvuuksien todellinen riskitaso arvioitua.

Auditointi pohjautuu usein haastatteluihin ja saatavilla olevien dokumenttien läpikäyntiin. Penetraatiotestaus perustuu hyökkääjän näkökulmaan ja on tekninen arvio tietoturvasta.

Tietoturva-auditointi vs. penetraatiotestaus: hyödyt

Tietoturva-auditoinnin hyödyt:

• Kattava käsitys tietoturvasta

• Riskien ja heikkouksien tunnistaminen

• Vaatimustenmukaisuuden varmistaminen

Penetraatiotestauksen hyödyt:

• Käytännön testaus järjestelmien ja sovellusten turvallisuuden tasosta pahantahtoisen hyökkääjän näkökulmasta

• Syvällinen käsitys heikkouksista ja kehityskohteista

• Mahdollistaa korjaustoimenpiteiden toteuttamisen ja priorisoinnin

• Testaus vuosittain tai joustavasti sovitussa syklissä aina kun sovelluksiin, verkkoihin tai järjestelmiin tulee päivityksiä

• Auttaa organisaatioita osoittamaan vaatimusten mukaisuuden osoittamalla, että kohdejärjestelmien suojaus on testattu kyberuhkia vastaan.

Miten valita oikea lähestymistapa?

Valinta riippuu organisaatiosi tarpeista ja resursseista. Jos haluat varmistaa vaatimusten mukaisuuden, auditointi voi olla hyvä vaihtoehto.

Penetraatiotestaus on parempi vaihtoehto, kun tarvitset realistisen kuvan siitä, mikä on teidän järjestelmien ja sovellusten tietoturvan taso. Pentestaus on paikallaan varsinkin silloin, jos ei ole ulkoisia tai muita vaatimuksia mitä vasten tehdä auditointia.

Liiketoiminnalle kriittisille, usein päivittyville tai julkiseen verkkoon avoinna oleviin verkkosovelluksiin sopii erityisen hyvin tietoturvan jatkuvan varmistamisen malli (PTaaS).

Onko tarpeesi kyberriskien vai vaatimustenmukaisuuden hallinta?

Tietoturva-auditointi ja penetraatiotestaus eivät sulje toisiaan pois. Voi olla, että tietoturvavaatimukset koskevat vain sovellusta, mutta eivät sen ajoympäristöä. Tällöin voidaan auditoida sovellus ja raportoida siltä osin vaatimustenmukaisuutta. Penetraatiotestaus kertoo taas sovelluksen ajoympäristön tietoturvan tilan.

Yhteenveto:

• Tietoturva-auditointi ja penetraatiotestaus ovat tapoja arvioida järjestelmän teknistä turvallisuutta. Ne eroavat kuitenkin toisistaan, vaikka kumpaakin termiä saatetaan käyttää kuvaamaan tietoturvan arviointia.

• Tietoturva-auditointi raportoi vaatimustenmukaisuuden toteutumista. Penetraatiotestaus raportoi tietoturvapuutteiden aiheuttaman riskin sekä suositukset riskienhallinnan toimenpiteiksi.

• Tietoturvaa voi ja kannattaakin testata myös silloin kun vaatimuksia ei ole.

Olipa organisaatiosi valinta sitten testaus tai auditointi, tärkeintä on, että digitaalisten palveluiden tietoturvan arviointiin ja kehittämiseen panostetaan.

Voisimmeko olla avuksi tietoturvan arvioinnissa? Laita meille viestiä!