Termi DevSecOps on arkipäiväistynyt vauhdilla ja valtaa alaa perinteisemmältä DevOpsilta – ja aivan hyvästä syystä. DevSecOps tuo konkreettisesti esiin sen, että nykypäivän tietoturva ei voi enää olla muusta työstä erillinen työvaihe, vaan sen on oltava kiinteä osa ohjelmistokehityksen sykliä. Kun IT-ammattilaisten DevSecOps-ideologiaan pohjautuva tietoturvatyö on jatkuvaa ja sisäänrakennettua oman organisaation sisällä, hedelmät näkyvät yhä vahvemmin myös asiakkaille ulkoisissa projekteissa.
Tietoturvan on kuljettava mukana kaikessa työssä
DevSecOps tarkoittaa tiivistetysti turvallisuusnäkökulman tuomista alusta alkaen kiinteäksi osaksi ohjelmistokehityksen ja tuotantoon viemisen prosessia. Tietoturva on toki aiemminkin ollut keskeinen ja positiivisella tavalla arkinen asia IT-alan ammattilaisille, ja sen uusimpia kehityskulkuja seurataan aktiivisesti sekä osaamista sen parissa täydennetään tietoturvasertifikaateilla.
Mikä siis pohjimmiltaan muuttui DevSecOps-ajattelun yleistymisen myötä?
Yhä pidemmälle kehittyneet työkalut ja toimintamallit mahdollistavat sen, että ohjelmistokehitystyössä on nyt helpompaa, nopeampaa ja kustannustehokkaampaa kuljettaa tietoturvanäkökulmaa jatkuvasti mukana. Kun tietoturvan varmistaminen ja haavoittuvuuksien torjuminen etenee samassa tahdissa muun työn kanssa, vältetään tuplatyö prosessin lopussa ja samalla sen aiheuttamat ylimääräiset kulut ja aikatauluviiveet.
Samaan aikaan alallamme on alettu ajatella yhä vahvemmin, etteivät tietoturva-asiantuntijat ja ohjelmistokehittäjät ole kaksi eri osaajajoukkoa. Esimerkiksi meillä Pinjalla kaikki kehittäjät ovat tietoturva-asioissa hyvin valveutuneita, ja pidämme yhteisvoimin silmiä auki kaikissa tilanteissa. Tämän lisäksi riveissämme on vielä erikseen tietoturvan erityisosaajia, jotka ovat käytettävissä niin sisäiseen mentorointiin ja sparraukseen kuin asiakkaidenkin käyttöön.
Asiakkaiden kannalta tärkeä tieto on totta kai myös se, että he pääsevät hyötymään kaikesta sisäisestä tietoturvatyöstämme yhteisissä projekteissa. Tietoturva on yhteinen asia ja osa vastuullista liiketoimintaa, joten hyviä käytänteitä jakaa mielellään eteenpäin.
Kolme keskeistä DevSecOps-työkalua
SCA = Software Composition Analysis
SCA-työkaluilla tarkistetaan koodissa käytettyjä kolmannen osapuolen kirjastoja ja kehyksiä tunnettujen haavoittuvuuksien varalta. Näin saadaan pidettyä myös ulkoiset paketit ajan tasalla ja siirrettyä päivitykset nopeasti tuotantoon.
SAST = Static Application Security Testing
Sovellusten staattisilla testaustyökaluilla skannataan ja analysoidaan lähdekoodia potentiaalisten tietoturvaongelmien varalta ennen tuotantoon vientiä.
DAST = Dynamic Application Security Testing
Sovellusten dynaamisilla testaustyökaluilla skannataan ajossa olevaa järjestelmää potentiaalisten tietoturvaongelmien varalta.
Yksittäisistä toimenpiteistä kokonaiskulttuuriksi – poimi neljä tärppiä
Omassa työssäni Pinjan tietoturva-asiantuntijana ja teknisenä projektipäällikkönä näen valmistavassa teollisuudessa monenlaista tietoturvatyötä. Jokaisen organisaation oma lähtötilanne, olemassa oleva tietojärjestelmäratkaisu ja potentiaaliset riskit muodostavat omanlaisensa kokonaisuuden, joka on otettava huomioon tietoturvaan liittyvässä päätöksenteossa. Monet näkökulmat ovat kuitenkin myös kaikille yhteisiä, ja esimerkiksi teollisuuden organisaatioissa kannattaa kiinnittää huomiota ainakin seuraaviin neljään asiaan:
1. Varmista legacy-järjestelmien tietoturva
Legacy-järjestelmien tietoturvaan kannattaa kiinnittää erityistä huomiota, sillä kokonaisuuden vanhin lenkki voi olla myös heikoin lenkki – jos päivityksistä ei ole huolehdittu. Esimerkiksi tehtaan lattialle on varsin helppo unohtaa vanhoja, hyviä järjestelmiä pyörimään vaikka kymmeniksi vuosiksi. Vanhojen järjestelmien vaihtaminen uuteen ei ole aina mahdollista tai edes järkevää, mutta niiden tietoturvaa kannattaa seurata ja varmistaa aktiivisesti.
2. Tee tietoturvasta osa sisäistä kulttuuria
Organisaation käyttäjät ovat yrityksen tietoturvatason kannalta kriittisessä roolissa, joten koulutukseen on syytä panostaa. Käytännön tietoturvatyö on myös jatkuvaa optimointia, joten asiaa on pidettävä jatkuvasti esillä. Yhtäältä on tehtävä tarpeeksi, jotta vältetään haavoittuvuudet ja torjutaan hyökkäykset. Toisaalta tietoturvan prosessit on hyvä suunnitella myös käyttäjäystävällisiksi niin, ettei päivittäisen työn suorittamisesta tehdä käyttäjille liian vaikeaa.
3. Hyödynnä talon ulkopuolista osaamista
Silloin kun oman henkilöstön avuksi tarvitaan lisäkäsiä tai -osaamista, ulkoisesta kumppanista voi olla merkittävää hyötyä esimerkiksi konsulttina, sparraajana, auditoijana tai jatkuvana yhteistyökumppanina. Itse asiassa tietoturvatyön ammattilaisiinkin pätee sama ajatus kuin muidenkin alojen organisaatioihin: myös me hyödymme siitä, että ulkoinen taho auditoi aika ajoin toimintaamme.
4. Selvitä tekoälyn mahdollisuudet omassa organisaatiossanne
Koneoppimista on hyödynnetty esimerkiksi virusskannereissa ja SIEM-ratkaisuissa jo pitkään, mutta tekoälyn kehitys on juuri nyt nopeaa monella muullakin tietoturvan osa-alueella muun muassa ChatGPT:n myötä. ChatGPT:tä voidaan hyödyntää esimerkiksi lähdekoodin analysoinnissa tietyllä tasolla jo nyt, ja penetraatiotestaustyökaluissa teknologia alkaa näkyä erilaisissa proof of concept -projekteissa. Tulevaisuudessa pelikenttä tulee vielä entisestään muuttumaan, joten kehitystä kannattaa seurata aktiivisesti ja miettiä jatkuvasti sovellusmahdollisuuksia omaan organisaatioon.
Case: DigiFinland
Eräs mielenkiintoisista DevSecOps-toimintamallia noudattaneista projekteistamme oli DigiFinlandin kanssa toteuttamamme Hoidonperusteet.fi-verkkopalvelu. Kyseessä on terveydenhuollon ammattilaisille suunnattu palvelu, jolla tehostetaan hoidon tarpeen ja kiireellisyyden arviointia. Projektiin liittynyt ohjelmistokehitys ja tuotantoon vienti toteutettiin DevSecOps-toimintamallilla ja SCA-, SAST- ja DAST-työkaluja hyödyntäen.
Hyvänä pohjana yhteistyölle toimi se, että jaamme asiakkaan kanssa yhteisen näkemyksen tietoturvasta. Myös DigiFinlandilla huolehditaan vastuullisesti ja järjestelmällisesti tietoturvaan liittyvien toimintamallien noudattamisesta.
Ota yhteyttä
Jos omassa organisaatiossanne kaivataan konsultaatiota, osaavia lisäkäsiä tai jatkuvampaa kumppania DevSecOps-pohjaiseen ohjelmistokehitykseen tai muuhun tietoturvatyöhön, olemme mielellämme avuksi.
Lue lisää
Pinjan digitaalisen liiketoiminnan palvelut
Koulutus: DevOps, nykyaikainen ohjelmistokehitys ja järjestelmien modernisointi – kohti pilvinatiiveja järjestelmiä
Opas: Vie digitaalinen palvelu uudelle tasolle – näin onnistut ohjelmistokehityskumppanin vaihdoksessa
Opas: Pilvimigraation kustannukset – ota nämä asiat huomioon ja välty ikäviltä yllätyksiltä
Tietoturvapalveluiden asiantuntijapalvelut - varmista liiketoimintasi jatkuvuus
