Tietoturvallisuutta kehittäjiltä ja kehittäjille – Breezy Dev Conf

Kirjoittaja: Tarmo Kellomäki
Director, Digital Security & Functional Safety

Minulla oli kunnia osallistua puhujana ensimmäiseen Breezy Dev Conference -konferenssiin. 150 ohjelmistokehittäjää ja -arkkitehtiä kokoontui oppimaan ja keskustelemaan ohjelmistokehityksestä. Kiitos Mirkalle, Gambitille ja kaikille muille hienosta tapahtumasta!

Päivän aiheeni oli Security by and for developersTietoturvallisuutta kehittäjiltä ja kehittäjille. Tässä ovat puheeni tärkeimmät kohdat, mikäli konferenssi jäi sinulta välistä.

Millainen kybersää on?

Suomen liikenne- ja viestintävirasto Traficom ylläpitää kybersäätiedotusta. Kooste julkaistaan kuukausittain, ja se sisältää tärkeimmät tiedot Suomen ja maailman tietoturvapoikkeamista ja -ilmiöistä.

Viimeisimmän kybersäätiedotteen mukaan suurimmat uhat ovat:

  • Kiristyshaittaohjelmat,
  • Tietojenkalastelu,
  • Tietomurrot ja -vuodot,
  • Järjestelmän ja teknologian haavoittuvuuksien hyödyntäminen julkisessa verkossa ja
  • Hyökkäykset teollisiin IoT-järjestelmiin.

Kaikki nämä uhat ovat todella merkittäviä ohjelmistokehityksessä, sillä yrityksen voimavarat ovat lähes kokonaisuudessaan digimaailmassa. Pahimmassa tapauksessa koko liiketoiminta voidaan menettää ohjelmistoyrityksessä yhden kyberhyökkäyksen seurauksena.

Joten, mitkä tekijät takaavat tietoturvallisen ohjelmistokehityksen?

Ohjelmistokehittäjät ja -arkkitehdit lähestyvät tietoturvallisuutta usein teknisestä näkökulmasta. Tekniset tietoturvallisuuden voimavarat ovat tärkeitä ohjelmointiympäristössä, mutta ihmisillä on silti suurin vaikutus tietoturvallisuuteen.

Oma suositukseni kaikille ohjelmointitiimeille on luoda tieturvallisuuden kulttuuri heti alusta lähtien sen sijaan, että esimerkiksi ostettaisiin one size fits all -periaatteella kehitetty kyberratkaisu ympäristöön.

Tässä neljän kohdan lähestymistapani tietoturvalliseen ohjelmistokehitykseen:

  1. Opeta kaikille kehittäjille tieto- ja kyberturvallisuuden periaatteet.
  2. Ala soveltaa turvallisuuskäytäntöjä – esim. uhkamallinnusta ja turvallisuusvaatimusten määrittelyä – omissa ohjelmointikäytännöissäsi. Tuotteen ominaisuuksien ja niiden uhkamallien läpikäyntiin saattaa kulua vain 15 minuuttia ylimääräistä aikaa sprinttisuunnittelussa.
  3. Teetä turvallisuustarkastuksia sisäisesti ja/tai ulkoisesti.
  4. Varmista, että kaikki tuotteenne ja ohjelmointiympäristönne on kovetettu kunnolla.

Kehittäjä, tarvitsemme sinua!

Yksi puheista Breezy Dev Conf -konferensissa alkoi ikimuistoisilla sanoilla: “Developers, developers, developers…”. Minä välitän samaa viestiä.

Kyberturvallisuus tarvitsee teitä, kehittäjät! Vain te voitte rakentaa ohjelmistoistanne turvallisempia.

  • Digitaalinen turvallisuus
  • Digitaaliset palvelut ja ohjelmistot
  • Turvallisuus

Edellinen kirjoitus

Poliittisten päätösten puute jarruttaa kaupallisen liikenteen sähköistymistä