Sievo on ohjelmistotalo, jolle tietoturva on ensisijaisen tärkeää

"Tietoturva-asioiden tulee olla jatkuvasti agendalla, eikä vain kerran vuodessa."

Saimme haastateltavaksi Sievon CISOn Tuomo Vierroksen, joka jakaa kokemuksiaan sovellusturvallisuuden varmentamisesta, tietoturvan huomioimisesta ohjelmistokehityksessä ja jatkuvan tietoturvatestaamisen mallista.

Miten voitte osoittaa asiakkaille, että tietoturva on hyvällä mallilla?

Meillä on ISO 27001 -sertifikaatti ja ilman sitä ei päästäisi moniin pöytiin lainkaan. Lisäksi on muutama raportti, joita melkein jokainen asiakas pyytää, esimerkiksi tietoturvatestauksen raportti. Siinä näkyy minkälaisia haavoittuvuuksia on löytynyt, ja on hyvä, että meillä on näyttää jotain kättä pidempää. Yleensä raportin pitää olla ulkopuolisen testaajan toteuttama, eli oma testaaminen ei riitä.

Millä keinoilla varmennatte sovellusten turvallisuutta?

Kaikki lähtee siitä, että ohjelmistotuotannon prosessin pitää olla kunnossa. Sovellusten kehittäjien tulee tietää, että tietoturva-aspektit pitää ottaa huomioon. Lisäksi yrityksen pitää mahdollistaa, että tämä prosessi on mahdollisimman helppo ja jouheva. Tämä tarkoittaa, että automaattisia testejä on mukana, mutta myös sitä, että käydään softaa läpi.

Meillä on kumppaneita, jotka auttavat testaamaan jatkuvasti tietoturvan tasoa ja etsimään haavoittuvuuksia. Lisäksi skannataan palveluita, että sieltä ei löydy mitään muiden kirjoittamassa softassa olevia haavoittuvuuksia.

Silverskin on yksi kumppaneistamme, ja heidän kanssaan ollaan löydetty erittäin hyvä malli, jonka avulla ollaan päästy prosessimaiseen lähestymiseen. Me teemme softasta releaseja hyvin usein ja siksi on tärkeää, että lähestymistapa on prosessimainen eikä projektimainen. Pitää päästä siihen, että tietoturva-asiat ovat jatkuvasti agendalla, eikä vain kerran vuodessa.

Mitä haasteita ketterä kehitys ja nopeat päivityssyklit tuovat ohjelmistokehityksen tietoturvaan?

Haasteiden lisäksi se avaa mahdollisuuksia! Eli kyllä meidän asiakkaat arvostavat sitä, että saadaan uusia toiminnallisuuksia ulos nopealla syklillä. Jos ohjelmistokehityksessä tehtäisiin virheitä, niitäkin on helpompi korjata menemällä eteenpäin kuin menemällä taaksepäin.

Tietoturvan näkökulmasta tässä on toki haasteitakin. Prosessin pitää olla paikallaan, eli kun julkaistaan päivityksiä, pitää tietää, että toiminnallisuus on tehty hyvin. Et voi luottaa siihen, että teet toiminnallisuuden varastoon ja testaat ja sitten kerran vuodessa julkaiset ominaisuuden.

Pitää löytää sellainen malli, jossa jatkuvasti ollaan ajan hermoilla ja tiedetään, että voidaan luotettavasti releasata tietoturvallista koodia ja ominaisuuksia asiakkaille.

Minkälaisilla malleilla pystytään saavuttamaan ketterän kehityksen ja tietoturvan yhdistäminen?

Jotta voi tehdä useamman releasen viikossa, koko release-pipelinen pitää olla automatisoitu. Siinä pitää olla tietyt tarkistukset paikallaan, jotta tiedetään, että koodi menee tietyistä laatuvaatimuksista läpi. Sen lisäksi sitä kannattaa testata hyvin aktiivisesti.

Esimerkiksi meillä on Silverskinin kanssa malli, jossa tehdään jatkuvaa penetraatiotestausta. Kerran kuussa meillä on suunnittelupalaveri, jossa käydään läpi mitä uusia toiminnallisuuksia meiltä on tulossa ja niitä testataan. Sen lisäksi testataan myös olemassaolevaa toiminnallisuutta, ettei sieltä löydy mitään uusia havaintoja. Tämä on ollut hyvin toimiva malli - ja erityisesti meidän kehittäjät tykkäävät, ettei tarvitse odottaa mitään yksittäistä rykäystä. Jos olet valmiina releasaamaan jotain, voit ilmoittaa, että nyt olisi hyvä hetki testata.

Mitä hyötyjä Sievo on saanut jatkuvan tietoturvatestaamisen mallista?

Yksi hauska homma on se, että tämä toimii niin hyvin, että meillä on joka kuukausi uusi raportti siitä mikä meidän tietoturvan tila on. Aina jos asiakas kysyy, onko teillä tietoturvatestaamisen raporttia, niin meillä on aina näyttää raportti, joka on kuukauden tai alle vanha.

Monet asiakkaat ovat kiinnittäneet jopa huomiota siihen, kuinka hyvä ja tuore raportti meillä on. Mutta eikö se juuri näin pitäisi ollakin, sillä turha niitä vuoden vanhoja raportteja on katsoa. Itse jos olisin asiakas, niin en hirveän mielelläni käyttäisi sellaista softaa, mistä vain tietty versio on testattu tai mikä on testattu kerran vuodessa. Asiakkaankin näkökulmasta on tärkeää, että hommat on testattu ennen kuin ne menevät tuotantoon.

Voiko testaamisesta olla hyötyä auditointi-tilanteissa?

Testaamisen hyödyt nousevat esiin myös auditointi-tilanteissa. Meillä on sekä ISO 27001 että ISAE 3000, eli SOCin vastaavaa Eurooppalaista standardia vasten auditoidaan. Meillä on ollut helpoimmat kohdat prosessissa ne kohdat, kun voimme näyttää, että meiltä löytyy testausraportit, tietoturvatestausta tehdäään aktiivisesti joka kuukausi ja pystymme näyttämään, että miten havaintoihin on reagoitu ja miten ne on korjattu.

Eli kyllä tietoturvatestaaminen helpottaa CISOn elämää paljon, mutta se helpottaa myös auditoijan elämää, kun näkee prosessin olevan näiltä osin kunnossa.

Mitä kehittäjät ovat pitäneet jatkuvasta tietoturvatestauksesta?

Kehittäjät tykkäävät olla mukana kanavalla, jossa keskustelemme aktiivisesti Silverskinin kanssa. Usein kehittäjät tarttuvat mahdolliseen havaintoon jo siinä vaiheessa, kun tulee ensimmäinen ilmoitus, että täällä on jotain mikä saattaisi olla havainto.

Feedback-sykli, jonka devaajat saavat jatkuvan palvelun mallissa, on loistava. Se on myös asia, mitä he eniten arvostavat. Devaajat pääsevät samantien asiaan kiinni ja mikä parasta, jos olisi joku havainto, se saataisiin korjattua jo seuraavaan havaintokertaan. Ei siis tarvitse olla sellaista vuoden syntilistaa, vaan kaikki saadaan korjattua ajallaan, kiteyttää Tuomo.

Tutustu myös muihin asiakastarinoihin