CGI:n blogi - kirjoituksia eri asiantuntijoilta

CGI Suomen asiantuntijat

Kirjoituksia asiantuntijoiltamme

Verkkosivuilta löytyy lähes aina tietoturvaongelmia ja -aukkoja. Melkein sama pätee verkkosovelluksiin, joita testataan kuukausia etukäteen ennen sovelluksen julkaisua. Kuinka varmistaa tietoturvaongelmien minimointi ja huolehtia yrityksen sekä asiakkaiden yksityistietojen turvallisuudesta nykyaikaisella tavalla?

Jokainen meistä haluaa olla turvassa datansa kanssa. Kukapa ei, data on arvokasta niin yksityisille henkilöille kuin yrityksillekin. Sen vuoksi on tärkeää, että datan turvallisuudesta huolehditaan mahdollisimman vahvoilla sovellustestauksilla. 

Perinteisesti verkkosovelluksia testataan esimerkiksi kolmen kuukauden ajanjakson aikana käyttämällä sovitun määrän henkilöresursseja testaukseen. Tänä aikana sovelluksessa olevat ongelmat pyritään löytämään ja korjaamaan. Tarkistustyö on kiinteähintainen, ja testaajille maksetaan käytetystä ajasta.

Tämä perinteinen menetelmä on hidas (ja tylsä) nykypäivän mahdollisuuksiin nähden. Kiinteässä ajassa ei ole mahdollista löytää kaikkia ongelmia ja haavoittuvuuksia. Aina jää jäljelle jotain, mitä ei tunneta tai tiedetä. Vaikka tämä onkin tiedostettu jo pitkään, on jäännösriski vain hyväksytty, koska jatkotestaaminen olisi liian kallista.

Bug Bounty -ohjelmalla saadaan tuotettua huomattava lisävarmuus liiketoiminnan jatkuvuudelle.

Sadattuhannet hakkerit ratkovat jatkuvasti uusia haavoittuvuuksia

Sovelluksiin, sivuihin ja näiden komponentteihin tulee parhaimmillaan kuukausittain uusia päivityksiä, joiden mukana ympäristöön voi tulla myös uusia haavoittuvuuksia. Bug Bounty -ohjelma on yksi ratkaisu ongelmaan. Ohjelmaan osallistuu ympäri maailman jopa 300 000 hakkeria, jotka etsivät jatkuvasti haavoittuvuuksia. Löydöksistä maksetaan palkkio käytetyn ajan sijaan.

Bug Bounty mullistaa koko tietoturva-alaa tekemällä tietoturvatestaamisesta jatkuvan prosessin. Sen avulla on mahdollista päästä käsiksi ongelmiin, joita perinteisessä testaamisessa ei löydetä. Jatkuvalla tietoturvatestaamisella jokaiselle julkaistavalle päivitykselle tehtyä auditointia voidaan keventää ja varmistaa huomattavasti parempi tietoturvataso. Ohjelmaa ei tarvitse aloittaa suoraan julkisena eli kaikille hakkereille avoimena, vaan aluksi voidaan käyttää kutsu-ohjelmaa, johon vain kutsutut hakkerit pääsevät mukaan. Näin varmistetaan pehmeä alku ja kerätään luottamusta ohjelmaan. Kun kypsyystaso on tarpeeksi korkea, voidaan ohjelma muuttaa julkiseksi. Tällöin kaikilla 300 000 hakkerilla on pääsy ohjelmaan.

Suomessa Bug Bountyn hyödyntämisen ja tunnetuksi tekemisen kärjessä on kulkenut LähiTapiola Leo Niemelän vetämänä. Leo on ottanut menestyksekkäästi Bug Bounty -ohjelmasta irti liiketoiminnalle kaiken hyödyn, sekä tehnyt Bug Bountya tunnetuksi koko maassa aktiivisella toiminnallaan. LähiTapiola järjestää vuosittain Bug Bountyn ympärillä Hack Day -päivän. Tässä tapahtumassa hakkerit kerääntyvät LähiTapiolan tiloihin ja etsivät ongelmia syvältä ympäristöstä, johon heillä ei muuten olisi suoraa pääsyä. 

Yrityksen liiketoiminta on useilla organisaatioilla suurimmaksi osaksi julkisen verkkopinnan varassa. Bug Bounty -ohjelmalla saadaan tuotettua huomattava lisävarmuus liiketoiminnan jatkuvuudelle.

Tietoturvaongelmien ja -aukkojen löytäminen ja hyväksikäyttö ovat ainoastaan resurssikysymyksiä potentiaaliselle hyökkääjälle. Mitä enemmän aikaa ja vaivaa hyökkäys vaatii, sitä epätodennäköisempää panostus pahantahtoisen hakkerin puolelta on. Bug Bounty -ohjelman piirissä olevaa potentiaalista kohdetta on tutkittu jo siinä määrin, että helppoa hyväksikäytettävää elementtiä on äärimmäisen vaikeaa löytää. Tällöin kohde on myös huomattavasti paremmin turvattu.

Pahimmat Bug Bounty -ohjelman vastustajat pelkäävät hakkereiden päästämistä ”vapaasti sivujemme kimppuun”. Taustalla heijastuu ajatusmalli, jossa ongelmia ei saa etsiä eikä haluta tuoda esiin. Sovellukset ja sivustot ovat kuitenkin avoimia hakkereille vaikka heille ei lupaa annettaisi. Bug Bountyn avulla hyväntahtoiset hakkerit ilmoittavat haavoittuvuuksista ennen kuin niitä käytetään hyväksi. Näin ongelma korjataan ajoissa ja tuhoa ei ehdi tapahtua.

Hakkereille maksettava palkkio löydöksistä tulee vastata löydöksen vakavuutta, sekä potentiaalisesti aiheutuvia seurauksia liiketoiminnalle jos haavoittuvuutta käytetään hyväksi. Näin varmistetaan löydöksen olevan aina arvokkaampi kuin maksettava summa ja maksut perustuvat selkeään kaavaan.

Kirjoittajasta

CGI:n blogi - kirjoituksia eri asiantuntijoilta

CGI Suomen asiantuntijat

Kirjoituksia asiantuntijoiltamme

CGI on kansainvälisesti suomalainen digitalisaatiokumppani.  Suomessa noin 3 800 asiantuntijaa konsultoivat asiakkaitamme liiketoiminnan ja ICT-ratkaisujen kehittämisessä. Tällä profiililla julkaisemme kirjoituksia CGI:n eri asiantuntijoilta.