Tietoturva-ala on suhteellisen nuori toimiala, joka kehittyy jatkuvasti. Alalla toimivassa yrityksessä on panostettava toimintaympäristön sekä teknologisten trendien jatkuvaan ennustamiseen ja näkemykselliseen liiketoiminnan kehittämiseen strategisen toiminnan ja valintojen pohjana.
Juha Eskelin toimii 2NS:n (Second Nature Security Oy) Head of Security Operations -roolissa ja osana johtoryhmää. Juha tarjoilee tässä kolme teesiä, joiden kautta 2NS:llä tullaan kehittämään toimintaa ja palveluita asiakkaiden tietoturvatarpeiden ratkaisemiseksi.
2NS:n tavoitteena on jatkaa menestyvän tietoturvaliiketoiminnan kasvattamista toimintaympäristön muutokset huomioiden. Ennusteiden lisäksi tarvitaan osaamista palveluiden kehittämiseen sekä jatkuvaa sopeutumiskykyä. Sekä asiakkaita kohtaava uhkakenttä että tietoturva-alalla toimivan yrityksen toimintaympäristö muuttuvat jatkuvasti.
Lue alta Juhan kannanotot tietoturva-alan teknologisiin kehityssuuntiin! Näiden teesien kautta tulemme kehittämään 2NS:n toimintaa ja panostamme asiakkaillemme ajankohtaisiin ja tarpeellisiin tietoturvapalveluihin.
Teesi 1: Sääntely ajaa perinteisen manuaalisen tietoturvan hallintatyön jyrkänteeltä alas
EU:n ja USA:n sääntely, kuten NIS2, DORA ja CRA, tekee vaatimustenmukaisuuden raportoinnista yhä monimutkaisempaa yhä useammille organisaatiolle.
Sääntely asettaa vaatimuksia suurien yritysten ja organisaatioiden lisäksi jatkossa myös keskisuurille organisaatioille. Sääntely velvoittaa organisaatioita, jossa ei hetki sitten ollut edes kokoaikaista tietoturvavastaavaa.
Riskejä pitää hallita ja tietoturvapoikkeamista pitää ilmoittaa. Toimitusketjun tulee olla hallinnassa niin, että oman toiminnan kautta ei muodosteta asiakkaille tarpeetonta uhkaa. Poikkeamatilanteiden käsittelyä on harjoiteltava ja muistettava ilmoittaa oikeille viranomaisille ja muille sidosryhmille, kun joudutaan tietomurron kohteeksi.
Liiketoiminnan ja järjestelmien jatkuvuus ja palautuminen on suunniteltava ennakkoon. On varmistettava, että tuotantolinja käynnistyy kyberhyökkäyksen jälkeen nopeasti ja asiakkaat saavat tilaamansa tuotteet ajallaan. Järjestelmien tietoturvatarkastuksissa löydetyt puutteet pitää saada korjauslistalle viipymättä, jottei haavoittuvuuden avulla päästä viemään asiakkaiden henkilötietoja tai uuden tuotteen rakennesuunnitelmia.
Hallittavaa on paljon. On toimittajahallintaa, jatkuvuusharjoituksia, johdon kyberharjoituksia ja järjestelmien teknisiä auditointeja ja arviointeja. Kaikista syntyy tuloksia, havaintoja, oppeja, jotka eivät saa jäädä Word-dokumentin marginaaliin. Niiden pitää päätyä vahvistamaan organisaation sietokykyä kyberhäiriöitä vastaan.
Ihmisen, tietoturvaihmisenkin, on perinteisin keinoin mahdoton toteuttaa ja hallita tietoturvatoimenpiteitä niiden entisestään kasvavan määrän vuoksi.
Työkalut ja järjestelmät, jotka tarjoavat kojelautanäkymän kautta jatkuvasti ajantasaista näkymää tietoturvan kokonaistilanteesta arkipäiväistyvät. Tietoturvan tilannetieto kiinnosti johtoa ennen ehkä kerran vuodessa. Jatkossa tilannekuvan pitää olla saatavilla ohjauspaneelinäytössä joka aamu, kuten tuoreimpien myyntilukemienkin.
Vastaavasti uudenlaiset käyttöliittymät, kuten keskusteluchatit ja ääniliittymät tuovat tietoturvan uudella tavalla myös peruskäyttäjän ulottuville – käyttäjä voi kysellä tekoälyavusteiselta oman organisaation tietoturvabotilta toimintaohjeita juuri omaan tietoturvapulmaansa tai saada mikroannoksen räätälöityä tietoturvakoulutusta tuoreimman uhkatilanteen perusteella.
Myös tietoturvan ammattilaisten työkalut kehittyvät. Tietoturvan hallintajärjestelmät (ISMS) siirtyvät työkaluihin, jotka tuntevat organisaation toimialan, ohjaavan regulaation, koon ja muut perustiedot. Työkalut avustavat ja ohjaavat hallintajärjestelmän rakentamista, sovittamista kuhunkin organisaatioon sekä hallintajärjestelmän järkevää hyödyntämistä. Tällaisten työkalujen kautta tietoturvatyön tulokset päätyvät johdon kojelaudalle tai henkilöstön seuraavan tietoturvakoulutuksen sisällöksi ja sitä kautta organisaation toiminnan tehostajaksi.
Teesi 2: Jatkuvat käyttöönotot ohjelmistokehityksessä eivät voi odottaa vuosittaista penetraatiotestausraporttia
Samaan aikaan ohjelmistotalossa mietitään, miten uutta toiminnallisuutta saadaan tuottamaan asiakasarvoa mahdollisimman nopeasti ja notkeasti.
Toteutettaessa jatkuvan julkaisun mallia, tietoturvatestauksen tuloksia kaivataan nopeammin kuin vuosittaisen penetraatiotestauksen hetkellä. Niinpä monissa softatiimeissä jatkuva tietoturvatestaus on jatkossa olennainen osa julkaisuprosessia ja CI/CD-koneistoa.
Kehitystyökalut ja -viitekehykset kehittyvät ja auttavat estämään yleisimpiä virheitä koodaustyössä. Tekoälyn avustamat, CI/CD-koneistoon liitetyt staattiset koodianalysaattorit (SAST) osaavat löytää haavoittuvuuksia uudesta koodista. Tekoäly mullistaa myös paljon työtä ja ylläpitoa vaatineen dynaamisen tietoturvatestauksen (DAST) ja vaikkapa muutaman nauhoitetun käyttösession perusteella testaustyökalu osaa muuntaa pyyntöjä (fuzzing) ja väsymättä etsiä haavoittuvuuksia ohjelmistosta.
Näistä työkaluista tulee lähes tai täysin itsenäisesti toimiva osa kehitystiimiä. Tietoturvatestaaja tai jopa ilman tietoturvataustaa oleva ohjelmistotestaaja voivat perehdyttää työkalun testattavaan ohjelmistoon ja sen jälkeen nämä SAST- ja DAST-työkalut voivat toimia autonomisesti ja ylläpitää itseään. Tämä parantaa tietoturvatestauksen kattavuutta.
Valtaosa järjestelmistä rakennetaan koodiin perustuvan kuvauksen avulla (IaC). Ohjelmistojen lisäksi järjestelmärakentamista voidaan valvoa staattisten työkalujen avulla järjestelmien rakennusvaiheessa samaan tapaan kuin sovelluskoodia.
Tietoturvan vaarantavia konfiguraatiovirheitä voi kuitenkin syntyä infrastruktuurin ja järjestelmien käyttövaiheessa ajonaikaisesti, kun elinkaarella tehdään muutoksia. Erilaiset järjestelmät ja infrastruktuurikomponentit tarjoavat tulevaisuudessa entistä kattavammin ohjelmallisia API -rajapintoja ajonaikaisia tietoturva-arviointeja varten. Automatisoitavien työkalujen ja rajapintojen avulla käytössä olevan infrastruktuurin jatkuva tietoturvatestaaminen on jatkossa mahdollista samalla tavoin kuin jatkuva ohjelmiston tietoturvatestaaminen.
Tietoturvan varmentaminen ja seuranta integroituu ohjelmistosuunnitteluun, koodaukseen, ajoympäristön valvontaan ja ohjelmiston elinkaaren hallintaan. Tietoturvalöydösten ymmärtäminen ja luokittelu auttavat korjaamaan kehitys- ja operointitiimien huonoja tai puutteellisia toimintatapoja. Huomion ja korjaustoimien kohteena eivät enää ole vain yksittäiset virheet vaan korjaavat toimenpiteet voidaan kohdistaa kehitysprosesseihin todellisen shift-left -toimintatavan hengessä.
Teesi 3: Tietoturvavalvonta levittäytyy kaikkialle
Laaja-alainen tietoturvavalvonta muuttuu edullisemmaksi ja sääntelyn myötä pakolliseksi. Kuten ylläkin mainittiin, infrastruktuurin valvonta automatisoituu ja havainnot viedään useissa tapauksissa suoraan tietoturvavalvontaan toteuttavaan järjestelmään.
Kun valvonta arkipäiväistyy, kertyy lisää havaintodataa ja edellytykset tietoturvapoikkeamien automaattiselle havaitsemiselle kasvavat. Kun poikkeama havaitaan automaattisesti, seuraava automatisoituva vaihe on poikkeaman korjaustoimenpide.
Tyypillisimmät tietoturvapoikkeamat voidaan korjata automaattisesti pienen riskin toimenpiteillä, kuten epäillyn laitteen eristämisellä, verkon osan dynaamisella segmentoinnilla tai uuden ja puhtaan infrastruktuurikomponentin käynnistämisellä.
Nämä toimenpiteet voidaan toteuttaa teköälyavusteisen tietoturvavalvojan autonomisessa ratkaisujonossa, joka toimii väsymättä ympäri vuorokauden ja skaalautuu pilvimallilla hoitamaan isommankin poikkeaman.
Korjaustoimet suunnitellaan etukäteen tekoälyn avustamiksi ja automatisoimiksi. Ongelmat tunnistetaan valvonnan avulla tehokkaasti ja tämä parantaa koko järjestelmän turvallisuutta, toimintavarmuutta ja häiriönsietokykyä.
Tietoturvakumppani apuna vaatimuksenmukaisuuden haltuunotossa
Trendien ja edellä esiteltyjen teesien pohdinta voi herättää paljon kysymyksiä. Miten toimia, kun perinteinen SOC-toiminta on tulossa tiensä päähän? Miten jatkuvan tietoturvatestaamisen ohjelma voidaan nivoa osaksi kehitystiimin toimintaa? Mistä kohtaa sääntelyviidakkoa kannattaa lähteä rakentamaan vaatimuksenmukaisuutta suhteessa omaan liiketoimintaan ja yrityksen tietoturvatavoitteisiin? Millainen tietoturvastrategia palvelee meitä parhaiten muuttuvassa toimintaympäristössä?
Näissä kysymyksissä on onneksi asiantuntija-apua tarjolla. Parhaimmillaan kehitystrendejä työkseen seuraava ja niiden myötä toimintaansa kehittävä tietoturvakumppani pystyy auttamaan koko uhkakentän, yrityksen suojattavan omaisuuden ja riskien hahmottamisen kautta myös yksittäisissä tietoturvan varmentamistoimenpiteissä.
2NS:llä toiminnan ja palveluiden kehityksemme on ennakoivaa mutta autamme asiakkaitamme myös ratkomaan tapauskohtaisesti organisaation ja liiketoiminnan käsillä olevia tietoturvahaasteita. Tavoitteemme on varmistaa toimintaympäristön nopeassakin muutoksessa, että asiakkaan tietoturvan kokonaisuus on lakien, säännösten ja määräysten mukainen ja hyödyttää asiakasta sen omien tavoitteiden saavuttamisessa.
Mikäli jäit pohtimaan, mistä lähteä liikkeelle oman tietoturvannerakentamisessa suhteessa teknologisiin kehityssuuntiin, ota yhteyttä ja hahmotetaan lähtötilannettanne yhdessä: info@2ns.fi