Lopputyöstä käytäntöön – ohjelmistoturvallisuuden vahvistaminen
Kirjoittaja: Iiris Joutsi
Consultant
Tietoturvakonsulttimme Iiris Joutsi tutki diplomityössään ohjelmistokehittäjien ymmärrystä turvallisesta ohjelmistokehityksestä. Työ palkittiin vuoden 2024 parhaana tietoturva-aiheisena opinnäytetyönä. Sukella hänen oivalluksiinsa tässä blogikirjoituksessa!
Aloitin työskentelyn Huldilla viimeistellessäni maisteriopintojani Aalto-yliopistossa. Pääaineeni oli Security and Cloud Computing, ja työskentelin samojen aiheiden parissa, joten pystyin kirjoittamaan lopputyön työni ohessa. Opinnäytetyöni otsikko oli Developers’ understanding on secure software development. Lopputyön kirjoittaminen Huldilla oli erittäin miellyttävä kokemus. Sain kaikki tarvittavat työkalut tutkimuksen tekemiseen ja pystyin varaamaan yhden päivän viikossa keskittyäkseni pelkästään lopputyön kirjoittamiseen.
Tietoturvallisen kehityksen elinkaaren (SDL) merkitys
Tutkimuksessani kuvasin, kuinka kouluttautuminen tietoturvallisen kehityksen elinkaareen (Secure Development Lifecycle, SDL) vaikuttaa ohjelmistokehittäjien ymmärrykseen turvallisen ohjelmistokehityksen periaatteista. Ohjelmistojen ja ohjelmistoturvallisuuden merkitys on tänä päivänä kiistaton, ja kehittäjillä on keskeinen rooli turvallisuuden ylläpitämisessä. Ohjelmistokehitys sisältää useita vaiheita, kuten vaatimusten määrittelyn, suunnittelun, toteutuksen, testauksen ja ylläpidon. SDL integroi turvallisuuden järjestelmällisesti kaikkiin näihin vaiheisiin.
Keskeiset havainnot – vastuun ja osaamisen välinen kuilu
Yksi tutkimukseni merkittävimmistä löydöksistä oli, että ohjelmistokehittäjät kantavat päävastuun ohjelmistoturvallisuudesta. Kuitenkin heillä ei useimmiten ole riittävästi turvallisuusosaamista tai resursseja toteuttaa sitä kattavasti. Kehittäjien mukaan myös monet muut ohjelmistokehityksen sidosryhmät hyötyisivät vastaavista koulutuksista.
Kirjallisuuskatsaukseni kokoaa yhteen ohjelmistoturvallisuuden parhaat käytännöt kehitysprosessin eri vaiheissa. Tämä kooste tarjoaa kehittäjille mahdollisuuden perehtyä ohjelmistoturvallisuuteen. Lopputyö ei ainoastaan tunnista olemassa olevaa osaamisvajetta, vaan ehdottaa myös ratkaisua sen paikkaamiseen. Tämä on entistä tärkeämpää nyt, kun EU pyrkii parantamaan yleistä tietoturvan tasoa lainsäädännön, kuten NIS2:n ja CRA:n, avulla.
Diplomityöni palkittiin Tietoturva ry:n toimesta vuoden 2024 parhaana tietoturva-aiheisena opinnäytetyönä. Hakemuksia arvioitiin niiden tietoturvasisällön, uutuusarvon, käytännön sovellettavuuden, arvosanan sekä työn muun sisällön ja laajuuden perusteella.
Turvallisen ohjelmistokehityksen monimutkaisuuden keskellä on tärkeää pysyä ajan tasalla mahdollisista uhkista ja haavoittuvuuksista. Kyberturva-asiantuntijamme auttavat sinua turvaamaan kehitysprosessisi – olipa kyseessä SDL-käytäntöjen tuominen ohjelmistokehitykseen tai teollisiin prosesseihin. Ammattilaisemme ovat erikoistuneet keskeisiin kyberturvastandardeihin, kuten ISA/IEC 62443-4-1 Industrial Control System Cybersecurity.