Tietoturvallinen digipalvelu syntyy vain auditoimalla tekninen toteutus

Esimerkiksi North Patrolissa suosittelemme usein asiakkaillemme ulkopuolisen tietoturva-auditoinnin teetättämistä (emme tee niitä itse), koska se on käytännössä paras tapa varmistaa oman palvelun tietoturvan ja valitun kumppanin tietoturvaosaamisen taso. Tämä korostuu palveluissa, joissa käsitellään suuria määriä henkilötietoja tai esimerkiksi liiketoiminnan kannalta kriittisiä tilauksia tai palautteita.

Myös Vierityspalkin Toimistot-hakemistossa on toimistoilla mahdollisuus kertoa referensseistä, jotka on auditoitu kolmannen osapuolen toimesta. Jos tällaisia referenssejä on riittävästi, saa toimisto merkinnän asiasta omaan profiiliinsa.

Tällä hetkellä Knowit Experience on ainut tällaisen merkinnän saanut digitoimisto. Muillakin on tästä aiheesta kertynyt jo meriittejä. Jotkut toimistot ovat myös selvästi enemmän tähän aihepiiriin keskittyneitå, kuten esimerkiksi Valu Digital, jonka Mikko Virenius on pitänyt aihetta myös hyvin esillä LinkedIn-postauksissaan.

Tietoturvallisuuden varmistamisessa kun on (ainakin) kolme vaikeaa asiaa:

1. Maali muuttuu koko ajan. Mikään yksittäinen temppu ei ratkaise kaikkea. Tämä korostaa kumppanin käytänteitä, prosesseja ja esimerkiksi päivitysosaamista.
2. Riippuu palvelusta, mikä on riittävä suojauksen taso, ja mitkä ovat vaarallisimpia alueita. Usein on pakko tehdä kompromisseja.
3. Erittäin korkea tietoturvan taso maksaa lähes aina merkittävästi ja tuo mukanaan myös muita hankaluuksia. Kaikkien palveluiden ei edes tarvitse olla korkean tietoturvan tasolla.

Täten myös asiakkaiden näkökulmasta tietoturvaan liittyvien vaatimusten kirjoittaminen on haastavaa. Jos esimerkiksi käytetään tuotepohjaisia ratkaisuja, ei kannata lähteä vaatimaan jotain tietynlaista kirjautumisen mallia, esimerkiksi. Tästä syystä valmiiksi kirjoitetut tietoturvavaatimukset eivät ole mitään hopealuoteja, koska ne eivät sovi sellaisenaan yleensä mihinkään projektiin, vaan aina tarvitaan sovittamista ja neuvottelua.

Toimittajat tekevät erittäin tietoturvallisia palveluita mielellään, asiakkaan pitää arvioida investoinnin järkevyys

Toimittajille korkea tietoturva on myös myyntikeino, johon on vaikea sanoa vastaan, vaikka olisi selvää, että äärimmäisen tietoturvallinen malli (esim. headless-mallit ovat usein tällaisia) on toimittajalle erittäin hyvää liiketoimintaa ja vahva sidos yhteistyöhön jatkossakin.

Täten asiakkaat joutuvat usein pohtimaan eri mallien hyötysuhdetta aika yksinään. Riskit ovat myös käytännössä aina asiakkaalla. Hyvin harvoin toimittajalle syntyy edes mainehaittaa, jos verkkosivusto murretaan tai joku pääsee käsiksi asiakkaan järjestelmiin toimittajan puutteellisten käytänteiden takia. Tuore Valion ja Vincitin tapaus on harvinainen poikkeus, jossa julkisuuteen tuli myös tieto siitä, että järjestelmiin päästiin käsiksi juurikin toimittajan kautta.

Hyvät käytänteet ja päivittäminen ovat tärkeintä

Ehkä se isoin asia, jonka asiakkaiden toivoisi ymmärtävän on, että ei ole automaattisesti tietoturvallisia sovelluksia tai ympäristöjä. Jokainen sovellus ja ympäristö on jossain määrin ainutlaatuinen ja tietoturvan taso riippuu enemmän tekijästä kuin käytetystä työkalusta.

Komponenteilla ja järjestelmävalinnoilla on merkitystä, mutta juuri tässä aiheessa, ne isoimmat erot syntyvät kumppanista, ylläpitosopimuksesta ja laadun valvonnasta.

Tekniset ihmiset mieluusti kyllä väittelevät siitä, mikä järjestelmä on tietoturvallisin, tai miten suosio vaikuttaa tietoturvaan. Lopputulos on kuitenkin näissä keskusteluissa lähes aina se, että paljon enemmän riippuu siitä, miten lopullinen sovellus ja ympäristö rakennetaan ja miten siitä pidetään huolta.

Auditointi ei ole hopealuoti, mutta on konkreettinen projekti

Näistä syistä johtuen, tietoturvan auditointi on käytännössä ainut malli, jolla voidaan jollain tavalla varmistaa, että valitun kumppanin osaaminen ja tehty lopputulos ovat riittävällä tasolla. Jos kyse on aidosti liiketoiminnalle kriittisestä palvelusta, on auditointiin käytetty kymppitonni hyvin käytettyä rahaa.

Jos syystä tai toisesta, kymppitonnia (hinta toki riippuu palvelun koosta) ei löydy tällaiseen harjoitukseen, kannattaa ainakin huolehtia seuraavista asioista:

1. Valitse tekniseksi kumppaniksi taho, jolla on hyvät prosessit päivityksiin ja tietoturvakorjauksiin. Varmista, että vastuut ovat selvät, ja maksat siitä, että vastuutaho tekee päivitykset aina mahdollisimman nopeasti.
2. Valitse palvelinympäristöksi ratkaisu, joka on auditoitu kolmannen osapuolen toimesta. Tämä ei välttämättä tarkoita jonkun ison toimijan pilviratkaisua, koska pienenkin toimijan ratkaisussa voi olla asiat hyvin, mutta jonkinlainen auditointi täytyy olla ympäristölle tehty.
3. Pakota kaksivaiheinen tunnistautuminen kaikille käyttäjille, myös tavallisille sisällöntuottajille. Myös esimerkiksi WordPressiin tämä on mahdollista toteuttaa lisäosien avulla. Tämä on ehkä yksittäisenä asiana se, mistä syntyy eniten hyötyjä. Tämän jälkeen pelkän salasanan varastamisella ei enää pääse mihinkään.
4. Pakota tekninen kumppani dokumentoimaan tekninen ratkaisusi. Varmista, että dokumentaatiota pidetään ajantasalla ainakin vuosittain. Erityisesti jos nojaat paljon kolmansien osapuolien komponentteihin tai palveluihin, on tärkeätä, että jossain on tieto siitä, mitä kaikkea ratkaisuusi liittyy. Tämä on myös edellytys sille, että voit joskus tilata sen teknisen tietoturva-auditoinnin.
5. Huomioi myös saas-palvelut ja muut järjestelmät, joilla on integraatioiden kautta pääsy tietoihin. Esimerkiksi uutiskirjetyökalut ja markkinoinnin automaatiotyökalut usein integroidaan siten, että kaikki henkilötiedot tallentuvat myös näihin järjestelmiin. Ulkoisilla järjestelmillä voi myös olla oikeudet tehdä laajoja muutoksia ydinjärjestelmään. Tällöin on yhtä oleellista varmistaa, että myös näissä ulkopuolisissa palveluissa on riittävä tietoturvan taso, esimerkiksi vähintään se kaksivaiheinen tunnistautuminen kaikille ylläpitäjille.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 1000 tilaajaa).