Petteri Nyrhilä

Tietoturvapolitiikka ohjelmistoturvallisuudessa

Johdanto

Tehokkaan tietoturvallisuusarkkitehtuurin kulmakivi organisaatioissa on hyvin suunniteltu ja dokumentoitu sekä johdon hyväksymä tietoturvapolitiikka [1]. Se muodostuu useista alapolitiikoista, kuten ohjelmistoturvallisuus, laitteistoturvallisuus, fyysinen turvallisuus, henkilöstöturvallisuus, hallinnollinen turvallisuus ym. Ne tarkastelevat tietoturvakäytäntöjä tarkemmin eri osa-aluilla.

Nykypäivänä erilaiset ohjelmistot, kuten tietojärjestelmät, ovat organisaatioille elinehto, sillä niitä käytetään päivittäin tietojen siirtämiseen ja hallinnointiin. Niiden turvaaminen on siis erittäin tärkeää koko organisaation kannalta. Sen vuoksi ohjelmistoturvallisuutta koskeva politiikka tulisi suunnitella erityisen huolellisesti. Tässä työssä käsitellään ensin ohjelmistoihin liittyviä uhkia, minkä jälkeen tarkastellaan tietoturvapolitiikkaa ja etenkin tarkemmin, mitä ohjelmistojen tietoturvapolitiikan tulisi sisältää.

Ohjelmistoturvallisuus ja siihen liittyvät uhat

Ohjelmistoturvallisuus on tietoturvallisuuden osa-alue, joka käsittelee muun muassa käyttöjärjestelmiä ja muita ohjelmistoja. Se kattaa muun muassa ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyihin, tarkkailu- ja paljastustoimiin, lokimenettelyihin sekä laadunvarmistukseen, ylläpitoon ja päivitykseen liittyviä asioita. [2] Lisäksi ohjelmistoturvallisuuden piiriin kuuluu tietojärjestelmät ja niiden lisenssien hallinta [3]. Oleellista ohjelmistoturvallisuudessa on varmistaa, että vain oikeat henkilöt pääsevät vaivattomasti oikeaan tietoon käsiksi käytännöllisten sovellusten kautta.

Ohjelmistoissa ja niiden käytössä on yleensä useita tietoturva-aukkoja, joita ei huomata ilman tarkempaa tutkimista. Ikäväksi asian tekee se, että hyökkääjä ei tarvitse kuin yhden tietoturva-aukon tehdäkseen haittaa ohjelmiston käyttäjälle. Sen vuoksi ohjelmistoja vastaan kohdistuvat uhat täytyy selvittää huolellisesti, jotta niitä vastaan voitaisiin varautua. Yleisimmät ohjelmistoihin liittyvät uhat johtuvat puutteellisista toimintatavoista, teknisistä vioista, ylivoimaisista esteistä ja tahallisista tai tahattomista teoista. Puutteelliset toimintatavat organisaatioissa voivat liittyä dokumentaation, käyttöoikeusmenettelyjen tai ohjeistusten ja sääntöjen puutteeseen tai riittämättömään koulutukseen. Ne johtavat yleensä inhimillisiin virheisiin. Tekniset viat ovat vikoja, missä tahansa laitteistossa, jota tarvitaan ohjelmistoille. Niitä ovat esimerkiksi levyrikko, verkkokorttivika tai verkon komponentin vika. Ylivoimaisia esteitä ovat esimerkiksi tulipalo, räjähdys, vesivahinko tai maan järistys. Ne voivat olla kohtalokkaita koko organisaation toiminnalle. Tahallisia, haittaa aiheuttavia tekoja ovat muun muassa ilkivalta, varkaus, luvaton käyttö, salakuuntelu, virukset, palvelunestohyökkäykset tai toisena laitteen tai käyttäjänä esiintyminen. Tahattomia tekoja ovat puolestaan inhimilliset vahingot, joihin voi johtaa esimerkiksi kokemattomuus tai kommunikaation puute. [5] Uhat liittyvät voimakkaasti tietojen katoamiseen, tuhoutumiseen tai vääriin käsiin joutumiseen. Pahimpana seurauksena voidaan nähdä jopa organisaation liiketoiminnan estyminen tai loppuminen, joten ohjelmistoturvallisuus on erittäin tärkeää huomioida.

Tietoturvapolitiikan lähtökohdat

Organisaatiosta riippuen, tietoturvapolitiikat voivat olla varsin erilaisia, koska eri organisaatioilla on muun muassa erilaisia tavoitteita, julkisuusvelvoitteita ja lainsäädännöllisiä vaatimuksia [6]. Politiikan luominen on kuitenkin aina organisaation johdon vastuulla. Sen lisäksi, että he valtuuttavat tietyt henkilöt sen tekemiseen, heidän täytyy myös hyväksyä se. Eri henkilöt voivat valmistella eri osa-alueiden politiikat, kunhan ne loppujen lopuksi muodostavat yhden eheän tietoturvapolitiikan. Esimerkiksi ohjelmistoturvallisuuden tietoturvapolitiikan voisi valmistella tietohallintopäällikkö yhdessä tietotekniikan asiantuntijoiden kanssa. Tällöin politiikkaan saadaan näkemystä sekä liiketoiminnan että varsinaisten ohjelmistojen kannalta, jolloin politiikka tukisi organisaation liiketoimintaa mahdollisimman hyvin.

Oleellista politiikkojen määrityksessä on huomata ero tietoturvaohjeistojen ja -politiikan välillä. Politiikkaa ei saa kuormittaa liiallisilla yksityiskohdilla, eikä se saa sisältää esimerkiksi vpn-tunneleiden ohjelmistovalintoja tai salausavainten pituuksia, vaan oleellista on esimerkiksi etätyön käyttöoikeuksien myöntämisperiaatteet, vastuut ja valvonta. Ohjeistojen tulisi olla politiikkaa tukevia yksityiskohtaisempia dokumentteja. [6]

Tietoturvapolitiikkaa tai mitä tahansa sen osa-aluetta määriteltäessä ensin on tärkeintä tunnistaa, mitkä tiedot tarvitsevat turvatoimenpiteitä. Sen jälkeen täytyy määritellä miten tärkeät tiedot tulisi turvata eli millä keinoin pystytään takaamaan esimerkiksi ohjelmistojen turvallisuus. Turvapolitiikkaan täytyy myös aina määritellä vastuuhenkilöt, jotta kaikki turvatoimet onnistuisivat. Tärkeää on myös muistaa, että tietoturvapolitiikka on jatkuva prosessi. Sitä täytyy ylläpitää jatkuvasti ja päivittää muutosten mukaan sopivammiksi. Lisäksi politiikka täytyy tiedottaa koko henkilöstölle, kun se on luotu sekä aina tehtyjen muutoksien jälkeen [6].

Ohjelmistoturvallisuuden politiikka

Turvattavat tiedot

Ohjelmistoissa liikkuu todella paljon organisaatioiden tärkeitä tietoja. Tiedot voivat koskea esimerkiksi tuotekehitystä, organisaation strategiaa tai talousasioita, joiden joutuminen vääriin käsiin tai katoaminen voi vahingoittaa organisaation liiketoimintaa ja sitä myöden kilpailukykyä. Niihin liittyy lisäksi myös käyttäjätietoja, niitä koskevia käyttöoikeustietoja sekä lokitietoja. Käyttäjätietoihin liittyy sekä kirjautumistunnuksia, että henkilöiden nimi- ja yhteistietoja. Käyttöoikeustiedot sisältävät erilaisia pääsyoikeuksia ja lokitiedot käytön historiatietoja, joiden avulla esimerkiksi voidaan ongelmatilanteissa paikallistaa virheitä.

Ohjelmistot sisältävät myös paljon niiden käyttöön liittyvää tietoa, mitä peruskäyttäjät eivät näe. On erittäin oleellista, että nämä tiedot pysyvät tallessa ja muuttumattomina, jotta ohjelmistot toimisivat oikein. Jos ohjelmistoista katoaa mitä tahansa tietoa, se voi olla uhka joko pelkästään ohjelmiston toimintakyvylle tai sitten koko organisaation toiminnalle. Riippuen ohjelmiston tärkeydestä, myös ohjelmiston toiminnan estyminen voi vaarantaa liiketoimintaa. Siksi onkin erittäin tärkeää turvata kaikki ohjelmistoissa liikkuvat tiedot siten, että ne eivät vahingossa pääse katoamaan tai tuhoutumaan, eikä niitä pääse ulkopuoliset käsittelemään.

Turvaamiskeinoja

Ohjelmistoturvallisuuden turvaamiskeinoja ovat muun muassa ohjelmistojen pääsynvalvonta, tapahtumatietojen seuranta, varmuuskopiointi, asianmukainen ohjelmistodokumentaatio, asianmukaiset ylläpito- ja huoltosopimukset sekä rekisteröityjen ohjelmistojen käyttö [4]. Pääsynvalvonta tulisi hoitaa esimerkiksi henkilökohtaisilla tunnus-salasana – pareilla. Eri käyttäjille tulee olla myös eritasoisia käyttäjätunnuksia ensinnäkin sen takia, että he eivät tarvitse niitä ja toisaalta siksi, ettei niiden tietojen luottamuksellisuus vaarannu. Tapahtumatiedoilla eli lokitiedoilla pystytään usein määrittämään ongelman ydin tai henkilö, joka aiheutti tietoturva-aukon, joko tahallisesti tai tahattomasti. Siksi ohjelmistojen tulee kerätä lokitietoja aktiivisesti muutoksista. Varmuuskopioinnilla pyritään varmistamaan tietojen saatavuus myös ongelmatilanteissa. Varmuuskopiointiin on useita erilaisia mahdollisuuksia, mutta tärkeää on säilyttää varmuuskopioidut tiedot vähintään eri paloalueella kuin alkuperäiset, mieluusti jopa eri rakennuksessa. Asianmukaiset ohjelmistodokumentit antavat lisätietoa ja tukea ohjelmistoista ongelmatilanteissa. Ylläpito- ja huoltotoimet pitäisi olla nykypäivänä jo itsestäänselvyys. Niiden varmistaminen hätätilanteiden varalta voi kuitenkin jäädä vajaaksi, mikä saattaa aiheuttaa suuria ongelmia. Yksi mahdollisuus on ulkoistaa huolto- ja ylläpitotoimet luotettavalle kolmannelle taholle. Myös rekisteröityjen ja lisensoitujen ohjelmistojen käyttö yleensä takaa luotettavan ohjelman ja hyvät päivitysmahdollisuudet, mikä on tietoturvan kannalta hyvin olennaista.

Hyvä tietoturvaa lisäävä keino on myös valita ohjelmistot siten, että ne ovat juuri niiden käyttötarkoitukseen sopivia huomioiden kuitenkin henkilöstön osaaminen ja kokemus käytön sekä ylläpidon osalta. Niiden tulisi olla myös hyvin testattuja. Ohjelmistojen käyttöympäristön tulisi olla myös helppo ja käytännöllinen. Lisäksi niistä tulisi poistaa turhat toiminnallisuudet, mikä lisää myös turvallisuutta. [2]

Puutteellisista toimintatavoista aiheutuvia uhkia voidaan välttää tarkastamalla omat toimintatavat ja tarvittaessa muuttamalla niitä. Siihen liittyy muun muassa koulutuksiin sitoutuminen ja ohjeistojen päivittäminen. Tulipaloja ja vesivahinkoja varten tulee varautua noudattamalla jo kiinteistöjen rakennusvaiheessa turvallisuussääntöjä ja muita tekijöitä sekä esimerkiksi riittävillä sammutusvälineillä. Inhimillisiin uhkiin, sekä tahallisiin että tahattomiin, voidaan aiemmin mainittujen toimenpiteiden lisäksi puuttua huolehtimalla myös fyysisestä turvallisuudesta, kuten lukituista ovista.

Vastuunjako

Vastuunjako tietoturvapolitiikassa on erittäin tärkeää. Ilman minkäänlaisia määräyksiä ja velvoitteita jotkut toimenpiteet voivat helposti jäädä tekemättä, mikä lisää tietoturvauhkaa huomattavasti. Vastuunjako tulee tehdä selkeästi ja varmistaa, että myös vastuuhenkilö tietää, mitä hänen tulee tehdä ja missä tilanteessa. Vastuuta ei saisi kasata liikaa yhden henkilön harteille, koska hänen ollessa poissa toimenpiteet jäävät tekemättä. Tämän vuoksi myös varamieskäytännöt olisi hyvä tuoda esille.

Luonnollinen tapa ohjelmistoturvallisuuden osalta on jakaa vastuuta esimerkiksi sekä ohjelmistojen käyttäjille, ylläpitäjille että organisaation johdolle. Jokaisen käyttäjän tulisi huolehtia omasta tekemisestään, esimerkiksi siitä, että ei luovuta tunnus-salasana – pariaan muille henkilöille edes tahattomasti. Lisäksi heidän tulisi huolehtia, että he eivät käytä ohjelmaa vääriin. Vastuu siitä, että henkilöstö osaa käyttää tarvittavia ohjelmistoja, on organisaation johdolla. Lisäksi johdon tulee huolehtia, että ohjelmistoille on valtuutettu ylläpitäjät, jotka ovat vastuussa niiden säännöllisestä päivittämisestä ja ylläpidosta.

Yhteenveto

Ohjelmistoturvallisuus on tietoturvallisuuden yksi osa-alue, joka koskee muun muassa käyttöjärjestelmiä ja muita ohjelmistoja. Niitä kohtaavia uhkia ovat mm. organisaation puutteelliset toimintatavat, tekniset viat, ylivoimaiset esteet ja tahalliset tai tahattomat teot. Organisaatioiden toiminta, tiedonsiirto ja säilytys perustuvat hyvin pitkälti ohjelmistoihin, joten ohjelmistoturvallisuudesta huolehtiminen on erittäin tärkeää.

Tietoturvapolitiikka on johdon hyväksymä näkemys siitä, kuinka tietoturvallisuus tulisi toteuttaa. Ohjelmistoturvallisuuden politiikka käsittelee asiaa ohjelmistojen kannalta. Oleellista on tunnistaa mitkä tiedot vaativat turvaamista, miten ne turvataan ja kuka on vastuussa vaadittavista toimenpiteistä.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Hallinto
Mitä Useita
Miltä Useita
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 30 Nov 2011 - 10:54:31 - PetteriNyrhila?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback