CableCrew on kasvava, kotimainen kuitu-, sähköverkko ja kaapelitöitä urakoiva toimija, jonka liiketoiminta keskittyy kriittisen infran asennusten pariin. Tietoturva on CableCrew:lle tärkeää, sillä kuten monella muullakin alalla, myös infrarakentamisessa osa työstä on siirtynyt digitaaliseen maailmaan. 2NS toteutti CableCrew:lle teknisen tietoturva-auditoinnin, jossa testattiin töiden edistymisen monitorointiin käytettävää sovellusta, joka on yrityksen liiketoiminnan kannalta kriittinen toiminto. Lue referenssiblogistamme, miten tietoturva-auditointi toteutettiin ja miten CableCrew koki yhteistyömme sujuneen!
Tekninen tietoturva-auditointi on tärkeää myös infrarakentamisessa
Auditoinnin tarkoituksena on yleisesti ottaen varmentaa tietoturvaa, havaita mahdolliset haavoittuvuudet ja estää heikkouksien hyödyntäminen. 2NS käyttää testauksessaan yleisesti tunnettuja tietoturvastandardeja. Näitä standardeja asiantuntijamme yhdistävät ajankohtaiseen tietoon tietoturvauhkista sekä vankkaan, omaan kokemukseensa testauksesta. Testauksen jälkeen asiakkaamme saa aina raportin testauksesta sekä korjausehdotukset mahdollisesti löytyviin haavoittuvuuksiin. Raportin käymme aina läpi yhdessä asiakkaan kanssa, jolloin asiakas saa selkeän näkymän testaukseen, testausmetodeihin sekä testauksen lopputulokseen.
CableCrewn teknisen tietoturva-auditoinnin kohteena toimi työntekijöiden käytössä oleva toiminnanohjausjärjestelmä, joka testattiin tietoturvahaavoittuvuuksien ja heikkouksien osalta. Järjestelmän tietoturvallisuus oli yritykselle kriittistä, sillä sovelluksen toiminnalla on suora yhteys yrityksen liiketoimintaan ja liiketoiminnan jatkuvuuteen.
“Tietoturva on CableCrewlle äärimmäisen tärkeää, koska toimimme kriittisen infran parissa. Järjestelmässämme on kaupunkien verkkokarttatiedot sekä loppuasiakkaiden yhteystiedot. Järjestelmän tarkoitus on taata kaapeli- ja verkkokarttojen turvallinen tallennuspaikka.
Satu-Maria Ravelin, HSEQ-johtaja, CableCrew
Projektiluontoinen tietoturvatestaus
Tekninen tietoturva-auditointi toteutettiin projektiluontoisena toimeksiantona, jossa testaus tehtiin sovitussa aikataulussa ja sovittujen laajuuksien mukaan. Testausprojektit alkavat aina ensin määrittelypalaverilla, jossa on mukana sekä työn toteuttava tietoturva-asiantuntija ja projektin etenemisestä vastaava projektipäällikkö. Testauksessa käytettiin yleisesti käytössä olevia standardeja, kuten OWASP ja OSSTMM pohjautuvaa testausmetodologiaa. Työkaluina olivat esimerkiksi Burpsuite ja Nessus.
Yleisesti teknisen tietoturva-auditoinnin tavoitteena on tunnistaa haavoittuvuudet ja heikkoudet ja varmistaa, että järjestelmä on suojattu mahdollisilta hyökkäyksiltä. Useimmiten auditointi alkaa yleensä tiedonkeruulla, jossa kartoitetaan järjestelmän rakenne ja käytetyt teknologiat, usein myös tutustuen järjestelmän dokumentaatioon. Palvelun tarkoituksen ja toiminnan ymmärtäminen on avain potentiaalisten riskitekijöiden ja heikkouksien tunnistamiseksi. Kohteen kartoittamisen jälkeen ensimmäinen askel testauksessa on tunnistaa palveluun implementoidut tietoturvakontrollit ja kovennukset, jotka vaikuttavat siihen minkälaisia haavoittuvuuksia palvelusta todennäköisimmin löytyy. Palvelun teknisessä testauksessa käytetään yhdessä automaattisia työkaluja sekä manuaalista testausta. Testauksessa analysoidaan myös sovelluksen bisneslogiikkaa mahdollisten hyväksikäytön mahdollistavien ongelmien varalta.
“Auditointi sujui hyvin, vaikka kyse oli erittäin laajasta ja järjestelmän ensimmäisestä kolmannen osapuolen tekemästä auditoinnista. Aikatauluhaasteita oli matkalla, mutta niistäkin lopulta selvittiin, ja kaikki oli tehty ennen ansaittuja kesälomia.
Yhteydenpito oli mutkatonta, ja tavoitettavuus oli erinomaista myös tarvittaessa virka-ajan ulkopuolellakin. Kaikkiin kysymyksiin sai vastauksen viimeistään seuraavana päivänä. Aikatauluista viestittiin myös reaaliajassa.
Satu-Maria Ravelin, HSEQ-johtaja, CableCrew
2NS:n auditoijan näkökulmasta CableCrewn toiminnanohjausjärjestelmä oli mielenkiintoinen kohde. Toiminnanohjausjärjestelmää testattaessa on selvää, että eri käyttäjäryhmiä on usein monia, tehden käyttövaltuuksien tarkastelusta erityisen olennaista. Monitahoisia järjestelmiä auditoidessa on auditoijalle usein suuri apu, kun asiakkaan tekninen asiantuntija pystyy tarpeen mukaan selventämään järjestelmän yksityiskohtia tai konfiguraatioita auditoijalle. Näin oli myös CableCrewn auditoinnin yhteydessä – yhteistyö pelasi hyvin, tehostaen auditointia ja parantaen tuloksia.
“Yhteistyö sujui niin hyvin, että jatkossa teetämme vuosittaisen auditoinnin 2NS:llä!
Satu-Maria Ravelin, HSEQ-johtaja, CableCrew