Sovelluskeskeinen liiketoiminta ja modernin tietoturvan haasteet

Sovellustason tietoturva on monelle verrattain uusi käsite. Termin koko laajuuden käsittäminen vaatii ymmärrystä sovellusten toimintaympäristöistä, sovelluskehityksestä ja moderneista tietoturvauhista. Tällä sivulla pyrimme kasvattamaan tietämystä aiheen ympäriltä.

Aloitamme lähestymisen ylhäältä ja pureudumme myöhemmin myös yksityiskohtiin. Mikäli haluatte tietää aiheesta enemmän, voitte olla meihin yhteydessä ja ehdottaa aiheita blogeille tai muille sisällöille.

Tällä kertaa käsittelemme modernin tietoturvan haasteita. Emme niinkään perinteisestä uhkanäkökulmasta, vaan pikemminkin organisaation sisäisten sokeiden pisteiden perspektiivistä.

Yritys-IT muodostuu tällä hetkellä kahdesta erillisestä maailmasta: perinteisestä IT-organisaatiosta sekä uudesta liiketoimintasovellusten ja niiden kehittäjien maailmasta.

Perinteisen IT:n tehtävänä on ollut luoda ja ylläpitää yrityksen IT-infrastruktuuria sekä varmistaa sen turvallisuus. Näin on samalla varmistettu yrityksen liiketoiminnan tekniset edellytykset.

Viimeisen kahden vuosikymmenen aikana koko maailma on kuitenkin muuttunut internet- ja sovelluskeskeiseksi. Tarve digitaalisille palveluille ja sovelluksille on kasvanut jopa niin suureksi, etteivät yritykset hae niistä enää vain kilpailuetua. Digitaalisia palveluita tarvitaan, jotta yritykset kykenevät säilyttämään edes toimintakykynsä.

Tämän vuoksi yhä useammasta yrityksestä löytyy oma talonsisäinen sovelluskehitystiimi.

Kenen vastuulla on uuden sovelluskerroksen tietoturva?

Tarve digitaalisille palveluille on synnyttänyt perinteisen IT:n päälle liiketoimintakriittisten sovellusten kerroksen. Nämä sovellukset toimivat joko perinteisen konesaliympäristön päällä tai yhä useammin pilvessä.

Tämän uuden kerroksen vastuujaot hallinnoinnin ja turvallisuuden välillä asettavat varmasti haasteita monissa organisaatioissa. Pilvessä infra-vastuu jakaantuu pilvialustatarjoajan ja asiakkaan välillä. Sen sijaan pilvialustan päälle rakennettavista mikropalveluista ja sovelluksista vastaa usein sovelluskehittäjä/-arkkitehti.

Perinteisen IT:n tietoturvaosaaminen ja -vastuu ei useimmiten usein ulotu varsinaiseen sovelluskehitykseen ja toisaalta sovelluskehityksen ensisijaisena tavoitteena on sovelluksen toiminnallisuus.

Nämä kaksi maailmaa muodostavat kuilun, johon tietoturva ja vastuu siitä helposti putoaa ja häviää näkymättömiin. Varsinkin, jos kuilun aiheuttamia riskejä ei havaita tai ymmärretä organisaation ylemmillä tasoilla.

Näitä haasteita yrityksissä esiintyy

  1. Kun mietitään hybridiympäristössä toimivaa organisaatiota, on selvää, että perinteisen IT-organisaation vastuut ovat monipuolisuudessaan haasteellisia. Vaikka ylläpidollisen työn määrä olisi vähentynyt samalla, kun osa datacenter-infrastruktuurista tai sovelluksista on siirretty pilvipalveluihin, on uuden kokonaisuuden hallinnointi hyvin erilaista aiempaan nähden.

Jokainen käytössä oleva alusta on teknisesti erilainen ja niiden hallinta tapahtuu eri tavoin. Oli kyse sitten omasta konesalista tai pilvestä. Vaikka palvelimia ei enää ”tunkattaisi” entisen lailla, on kokonaisuuden hallinta haasteellisempaa. Tällöin tietoturvaan voi hyvin syntyä sokeita pisteitä – kuten sovellustason tietoturva.

  1. Kuka vastaa sovellustason tietoturvasta? Perinteisesti tietoturva on kuulunut IT-infrastruktuurista vastaavan tahon vastuulle, mutta miten vastuu jakautuu oman sovelluskehityksen kohdalla?

Tämä epäselvä vastuu synnyttää tietoturvan harmaan alueen, johon pahimmillaan ei oteta mitään kantaa. Samalla sovellukset toimivat yhä useammin tietoturvahyökkäysten kohteena tai välineinä. Kasvaneeseen digitaaliseen liiketoimintaan liittyy myös uudenlaisia näkymättömiä uhkia sovelluksen omistajille, kuten varastettujen käyttäjätilien käyttö verkkokaupassa.

Sovelluskehityksen määrän kasvaessa ja kehitettävien sovellusten laajentuessa, tulee kehitettävistä sovelluksista samalla haavoittuvaisempia.  Virheiden mahdollisuus kasvaa samaa vauhtia työ- ja koodimäärien kanssa. Sovelluskehityksessä käytetään lisäksi paljon valmiita kirjastoja, joiden haavoittuvuuksista ei voi myöskään olla varmuutta.

Jollei koodiin suoriteta säännöllisesti penetraatiotestejä, voidaan olettaa, että sieltä löytyy haavoittuvuuksia. Kenen vastuulla on estää näiden hyväksikäyttö, kehitystiimin vai infrastruktuurista vastaavan IT-organisaation?

  1. Jokainen IT-infran osa, jokainen sovellus ja palvelu ovat osa kokonaisuutta – ns. koodista käyttäjälle -ketjua. Mikäli jokin osuus näistä ei toimi, ovat seuraukset usein välittömiä. Riippuen sovelluksesta, voi seurausten laajuus vaihdella “elämää hankaloittavasta” “katastrofaaliseen”.

Nyt kun yritysten toimintaympäristöt muuttuvat suuntaan, jossa sovellukset ovat

  • yhä liiketoimintakriittisempiä,
  • usein vapaasti saatavilla julkisessa verkossa ja
  • kehitetty erillään perinteisestä IT:stä,

muodostuu “koodista käyttäjälle” -ketjuun mittasuhteiltaan aiempaa laajempia riskejä.

Nekin sovellukset, jotka aiemmin olivat käytettävissä yrityksen ulkopuolelta etäyhteyksillä, olivat aivan toisella tavalla suojassa kuin nykyisin. Aikaisemmin sovellus sijaitsi omalla alustalla ja omien ratkaisujen sekä vastuiden suojaamana. Modernissa API-taloudessa sekä ratkaisut että vastuut saattavatkin jakautua usealle juridisesti toisistaan riippumattomille toimijoille.

Tämä aiheuttaa sen, etteivät ongelmat ja uhkat liity pelkästään tietoteknisiin ratkaisuihin, vaan myös toiminnallisiin ja hallinnollisiin riskeihin sekä vastuisiin.

Ja näiden seurauksena syntyy myös taloudellinen riski. Aivan kuten mahdollisuudet ovat moninkertaistuneet globaaleiksi auenneiden markkinoiden myötä, ovat globaalisti avoimet rajapinnat sovelluksiimme myös moninkertaistaneet meihin kohdistuvat uhkat.

  1. Ensimmäisessä kohdassa mainittu hybridiympäristön hallinta on monipuolisuudessaan haasteellista jo itsessään. Mikäli hybridiympäristön tietoturvasta pyritään huolehtimaan lisäksi vajavaisilla resursseilla ja osaamisella, on varmaa, että sokeita pisteitä syntyy.

Kyse on verrattain uudesta asiasta, eikä organisaatiosta usein löydy koko ekosysteemistä vastaavaa tahoa.

Sen sijaan siinä vaiheessa, kun kokonaisuus hahmotetaan ja sokeat pisteet havaitaan, on syytä nimetä hybridiympäristön tietoturva jonkun vastuulle.

Ratkaisu on enemmän tietoa ja dialogia

Ensimmäinen askel kohti ratkaisua on tiedostaa haasteiden olemassaolo.

Kasvata tietoisuuttasi sovellustason tietoturvasta, esimerkiksi seuraamalla tätä sivua. Käykää organisaationne sisällä dialogia sovellustason tietoturvasta infran omistajan ja sovelluskehittäjien välillä. Etsikää ratkaisu, joka palvelee molempien intressejä ja koko organisaation etua.

Lisätietoa sovellustason tietoturvasta julkipilvessä löydät esimerkiksi webinaariesityksestämme:

window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-130688740-1');