Sari Inkeroinen

Sari Inkeroinen

Johtaja

Teksti on julkaistu alunperin Puolustusvoimien logistiikkalaitoksen Järjestelmäkeskuksen Järkkäri-lehdessä 22.11.2022.

Tietoturvallisen ohjelmistokehityksen erityisvaatimuksia on jo hyvän aikaa pohdittu ja sovellettu, etenkin valtionhallinnon korotetun turvallisuusluokan kehitysprojekteissa. Sota Euroopassa sekä alati kehittyvät kyberuhat ovat kuitenkin luomassa tilanteen, jossa myös muut yhteiskunnan toimijat sekä yritykset tarvitsevat aiempaa enemmän korkean turvallisuuden kehitysosaamista ja kyberturvallisuuspalveluja.

Olisi ymmärrettävää olettaa, että sodan sytyttyä Euroopassa korkean turvallisuuden ohjelmistokehitys ja eritoten turvallisuussektorin toimijoiden vaatimukset kovenisivat radikaalisti. Näin ei ole kuitenkaan käynyt, ja hyvä niin. Sehän nimittäin tarkoittaisi, etteivät turvallisuusluokitukset vaatimuksineen olisi olleet riittäviä aiemmin.

Ukrainan sota on kuitenkin lähettänyt uusia muutoksen aaltoja, joiden vaikutukset ovat nähtävissä myös IT-alalla.
 

Kehittynyt kyberturvallisuusosaaminen on ohjelmistoalalla yhä enemmän vaatimus, ei erikoisuus

Kun järjestelmäkehityksessä puhutaan korotetun turvallisuusluokan asiakkuuksista, työtä tehdään yleensä valtionhallinnon elimille, kuten poliisille, tullille, puolustusvoimille tai sosiaali- ja terveysalalle. Tällaisissa projekteissa noudatetaan kansalliseen auditointikriteeristöön perustuvia turvallisuusvaatimuksia ja tarkat turvallisuusluokitukset määräytyvät asiakkaan sekä projektin perusteella.

Vaikka turvallisuusviranomaisille tehtävässä työssä sota ei olekaan koventanut vaatimuksia tai luokituksia, se on nostanut paremman kyberturvallisuuden tarvetta erityisesti muilla sektoreilla. Nyt palvelutuottajilta vaaditaan yhä useammin kokonaisvaltaista turvallisuusosaamista, mikä tarkoittaa niin ohjelmistokehitystä kuin dedikoitua kyberturvallisuusyksikköäkin.

CGI:n kaltaiset korkean turvallisuusluokan viranomaisten kanssa työskentelevät ohjelmistotalot ovat olleet maailmantilanteen muututtua vähemmän uuden äärellä, sillä tietoturvallisuuden ja erityisten turvallisuusluokitusten huomiointi sekä noudattaminen projektin joka tasolla on jo ennestään tuttua. Tällaisilla yrityksillä on myös omat erikoisjoukkonsa kyberturmiin varautumiseen ja akuuttien tilanteiden hoitamiseen.

Mikko Uotila ja Sari Inkeroinen

Kuvassa CGI:n valtionhallinnon asiantuntijat Mikko Uotila ja Sari Inkeroinen.

Miten korkean turvallisuuden ohjelmistokehitys eroaa muusta ohjelmistokehityksestä?

Kaiken modernin ohjelmistokehityksen – kaupallisista käyttötarkoituksista julkiseen sektoriin – tulee tietysti aina olla tietoturvallista. Tietoturvan täytyy olla sisäänrakennettuna koko ohjelmistokehitysprosessiin, määrittelystä ja toteutusprojektista aina ylläpitoon ja operointiin asti. Korkean turvallisuusluokan ohjelmistokehityksessä esimerkiksi perinteinen ketterä DevOps-malli ei enää riitä, vaan lähestymistapa tulee laajentaa DevSecOpsiksi, jossa tietoturva on sisällytetty projektiin suunnitteluvaiheesta alkaen ja turvallisuusvastuu on jaettu ketterälle tiimille.

Tietoturvallinen ohjelmistokehitys perustuu ennen kaikkea tietoturvavaatimusten tunnistamiseen. On ymmärrettävä, millaisessa ympäristössä ohjelmistoa tullaan käyttämään, millaisia käyttäjärooleja kehitykseen ja käyttöön liittyy sekä millaisia tietoturvaan liittyviä lakeja, säännöstöjä ja kriteeristöjä ohjelmiston on noudatettava.

Yleisin puute on kattavan riskianalyysin tekemättä jättäminen. Tietoturva on huomioitava alusta asti, alkaen kehitys-, testi- ja tuotantoympäristöjen suunnittelusta, sillä turvallisuusriskit voivat tapauksesta riippuen olla moninaiset ja uhkia voi löytyä paljon muualtakin kuin teknologiasta. Korkean turvallisuuden ohjelmistokehityksessä esimerkiksi työtilat ovat erityistiloja, joissa on tiukat kontrollit sekä tilarakenteiden että ihmisten osalta.

Itse koodaustyö ei korkean turvallisuuden projektissa välttämättä eroa lainkaan vaikkapa kaupalliselle asiakkaalle ja valtionhallinnolle tehtävien projektien välillä. Sen sijaan korotettu turvaluokka vaikuttaa kaikkeen varsinaisen koodauksen ympärillä, esimerkiksi mitä teknologia- ja arkkitehtuurivalintoja voidaan tehdä tai missä sijainnissa ja millä protokollilla kehitystyötä tehdään.

Ohjelmistojen tietoturvallisuudella on keskeinen merkitys myös tietojärjestelmissä käsiteltävien tietojen suojaamisessa, ja ohjelmistoprojektissa asiakkaan tietojen suojaaminen on luonnollisesti kaikki kaikessa. Esimerkiksi valtionhallinnon projektien tapauksessa järjestelmissä käsitellään usein vaikkapa kansalaisten yksityisiä tietoja.

Tietoturva on siis ensisijaisen tärkeää sisällyttää projektiin jo suunnitteluvaiheessa, sillä jälkikäteen turvallisuuden lisääminen on äärimmäisen hankalaa – ja kalliimpaa. Kyseessä on ennen kaikkea prosessi, joka vaatii jatkuvaa kehittämistä ja seurantaa. Baked in, not bolted on.

Kirjoittajasta

Sari Inkeroinen

Sari Inkeroinen

Johtaja

Olen CGI:n sisäisen turvallisuuden tiimin esihenkilö ja vastaan oman vastuualueeni asiakkuuksista CGI:llä Suomessa. Minulla on vahva asiantuntemus turvallisuusviranomaisasiakkuuksista, sekä vankka käytännön kokemus IT-projekteista ja asiantuntijapalveluiden laadukkaasta toimittamisesta ja yhteistyön kehittämisestä.