Softakehitys ja turvallisuus voivat kulkea käsi kädessä

Tietoturvallisuuden kankeat kaaviot eivät pysy aina ketterän kehityksen projektien perässä. LähiTapiolan tietoturvajohtaja Leo Niemelä avaa blogissaan LähiTapiolan turvallisen softakehityksen oppeja ja käytäntöjä.

Turvallisesta softakehityksestä (SecDevOps) on kuvattuna internetissä lukemattomia erilaisia kehysmalleja, prosesseja ja metodologeja. Informaatiota on valtavasti ja tietoturvallisuuden asiantuntijoiden on haasteellista saada kokonaiskuva siitä, miten tulisi lähestyä tätä akronyymiä nimeltä SecDevOps.

Tietoturvajohdon on annettava tekemiselle suunta ja mahdollistaa rahoitus digitaalisten palveluiden turvallisuuden takaamiseksi. Se on yhä haasteellisempaa tässä poikkeuksellisessa tilanteessa, mutta ei kuitenkaan mahdotonta saavuttaa.

Olemme julkaisseet White Paper –dokumentin aiheesta miten tietoturva otetaan huomioon ketterässä kehittämisessä ja tässä blogissa avaan miten ja millä metodeilla LähiTapiolassa saavutettiin Elämänturvasovellukselle Traficomin myöntämä Tietoturvamerkki.

Turvallisuuden myynti projektille

Sovelluskehitysprosesseissa hyödynnetään paljon valmiita kirjastoja sekä sovelluskomponentteja. Tiedon välittämiseen tietoliikenteen seassa paikasta toiseen on useita eri vaihtoehtoja joiden avulla voi tehdä joko turvallisia tai turvattomia ratkaisuja. Valmiita tuotteita ohjelmistokehittämisen tukemiseen on lukemattomia, joita kehittäjät voivat ottaa käyttöön toimeksiannon toteuttamiseksi.

Mielenkiintoinen tulokulma on tuoda tietoturvatiimistä sovelluskehittäjille valmiita hyviä käytännön ratkaisuja softaprojekteille, joita hyödyntämällä kehittäjien ei tarvitse huolehtia siitä onko malli tilaajan vaatimusten mukainen vai ei. Samalla voidaan vaikuttaa myös ohjelmistokoodin laatuun sekä syntyviin kustannuksiin sekä varmistaa arkkitehtuurilinjausten pitävyys.

Kun toimme valmiita malleja kehittäjien käyttöön, saimme heiltä paluukanavaa pitkin positiivista palautetta pääviestin ollessa koodaamisen nopeutuminen. Olemme jatkaneet samaa toimintatapaa ja tulokset ovat lupaavia.

Turvallisuuskulttuurin vahvistaminen

Ketterässä kehittämisessä on paikka turvallisuudelle ja Elämänturvasovelluksellemme myönnetty Tietoturvamerkki olkoon osoitus siitä. Myös turvallisuuden on oltava ketterä ja mukauduttava sovelluskehityksen kaikkiin prosesseihin. Security Coach -ajattelumallin tuominen ketterään kehittämiseen luo hyvät raamit turvallisille digitaalisille palveluille. On oltava siellä missä tapahtuu ja ojennettava heti auttava käsi jos kehittäjä tarvitsee apua. Kommunikoinnin toimivuus globaaleissa verkostoissa vaatii myös omalta tiimiltäni ymmärrystä, miten eri kulttuureissa toimitaan ja miten ohjausta kannattaa tehdä.

Koulutus ja turvallisuusajattelu

Koulutamme ohjelmistokehittäjiä turvallisen ohjelmistokehittämisen osalta säännöllisesti läpi vuoden. Tilaisuudet ovat rentoja ja me menemme aina sinne missä näemme tarvetta tai meitä pyydetään apuun. Räätälöimme koulutuksen aina sopivaksi kohderyhmälle, jotta mahdollistamme tärkeät kotiin viemiset. Ne voivat olla pieniä ahaa-elämyksiä tai sitten alkuvaiheessa ymmärrystä siitä mitä tietoturvallisuus LähiTapiolalle tarkoittaa. Koulutuksen sisältö on aina laadittava olemassa olevan kohderyhmän mukaan – ja homman ei aina tarvitse olla tiukkapipoista.

Hallitse ja johda softatuoteportfolion turvallisuutta

Aikaisemmin ohjasimme hyvin vahvasti kumppaneita sopimuksissa olevien tietoturvavaatimusten mukaisesti ja rakensimme ohjeita sekä suosituksia, jotka oletimme sopivan ICT kumppaneillemme. Polku oli raskas ja maaliin ei päästy oikein kertaakaan. Ohjeita tai vaatimuksia ei ymmärretty noudattaa, ja vaatimusten noudattamisen valvonta koko softakehityksen elinkaaren osalta oli mahdotonta.

Vuonna 2019 investoimme uuteen SAST-malliin (koodin staattisen tarkistuksen malli) ja laajojen koulutuksien jälkeen näemme tärkeimpien palveluiden turvallisuustilanteen nopeasti mallin ollessa mahdollisimman läpinäkyvä kehittäjille. Softaportfolion turvallisuutta toteutamme kolmannen osapuolen ratkaisulla, johon integroimme meille tärkeimmät kehityshankkeet.

Toteutus on mahdollisimman läpinäkyvä projektin omistajille, sovelluskehittäjille ja skaalautuu nykyaikaisille ohjelmistokielille sekä alustoille.

Kannustan sovelluskehitysprosesseissa olevia pohtimaan sovelluskehityksen turvallisuusprosesseja oman organisaation näkökulmasta. Minkälainen toimintapa ja kulttuuri toimisivat parhaiten sekä mitkä voivat olla karikot. Liika lukkiutuminen standardeihin, erilaisiin kehysmalleihin, sopimuksiin tai parhaisiin käytäntöihin antavat lyhyellä aikavälillä tuloksia, mutta pitkässä juoksussa on oltava lähellä kehittäjiä ja ojentaa auttava käsi.

Digitaalisten palveluiden turvallisuudessa kovin vastustaja olet sinä itse ja edustamasi organisaatio – ei hakkerit tai kyberrikolliset.

Traficom myönsi kesäkuussa LähiTapiolan Elämänturvasovellukselle Tietoturvamerkin. Merkki myönnettiin ensimmäistä kertaa mobiilisovellukselle.

Hyviä lukuhetkiä!

Leo Niemelä
tietoturvajohtaja
LähiTapiola