← Back to front page

Ambientia saavutti korotetun tietoturvatason

Taustaa

Tietoturva Ambientialla

Vuonna 2013 Ambientialla saatiin valmiiksi tietoturva-asetuksen mukaisten tietoturvatasojen perustason vaatimukset. Sen jälkeen olemme kilvoitelleet korotetun tason vaatimusten toteuttamiseksi. Nyt ne ovat valmiina! Nixu kävi arvioimassa Ambientian toimintaa keväällä, jonka jälkeen he totesivat Ambientian toiminnan täyttävän myös korotetun tason vaatimukset.

Perustusten kaivamisen jälkeen rakentaminen on helpompaa

Kun perusta on kunnossa, sen päälle on helpompi rakentaa. Se pätee tietoturvankin kehittämiseen. Perustason vaatimusten ollessa kunnossa, korotettujen vaatimusten toteuttaminen on ollut selkeästi helpompaa, kuin perustusten kaivaminen vuosia sitten. Kalenteriaikaa tekemiseen on mennyt kuitenkin melko paljon, koska käytännön tekemisen muuttaminen ei vain yksinkertaisesti ole nopeaa. Oma oletukseni oli, että olisimme saaneet monien asioiden kurssin kääntymään merkittävästi nopeammin, kuten edellisestä aiheeseen liittyvästä blogista huomaa.

Tärppejä toteutuksesta

Jos jokin toinen yritys haluaa alkaa toteuttaa tietoturvavaatimuksia korkeammalla tasolla, seuraavassa kaksi ajatusta, joiden avulla työ saattaa sujua helpommin.

Tietoturvakokeilla sähinää organisaatioon

Johtaminen on vaikeaa. Usein johdon pitää saada ihmiset uskomaan firmassa kehitettyyn visioon ja tekemään töitä sen parissa. Internetin tekeminen paremmaksi saitti kerrallaan tai asiakkaiden liiketoiminnan digitalisointi ovat suuria ja kiinnostavia tavoitteita. Niistä voi saada hehkutusta aikaiseksi, jolla ihmiset saa innostumaan. Tietoturvan johtaminen on taas todella vaikeaa. Se ei kiinnosta ketään. Asenne on usein se, että tietoturvaihmiset ja -käytännöt pyritään ohittamaan tai kiertämään, koska ne vain haittaavat normaalia toimintaa. Tällaisen joukon innostaminen onkin aivan toisen vaikeusluokan juttu. Ambientialla onnistuimme innostamaan ihmisiä kokeen avulla.

Teimme Ambientian tietoturvaorganisaatiossa kokeen, jossa oli noin 40 kysymystä. Suurin osa kysymyksistä perustui suoraan laadittuihin sääntöihin, mutta osa vaati pohdintaa ja soveltamista. Koe tehtiin pakolliseksi kaikille Ambientialla sillä hetkellä työsuhteessa olleille ihmisille. Sen tekemiseen näytti menneen aikaa noin 10 – 50 minuuttia per henkilö, joten kovin suuresta ponnistuksesta ei ollut kyse. Pedagogisesti koe meni aivan metsään. Koska kysymysten laatijoita oli monia, päätyi kokeeseen myös monia erilaisia kysymystyyppejä ja niiden tyyli oli varsin hajanainen. Käytännössä 100 % oikeaa suoritusta oli mahdotonta saada juuri tämän takia. En myöskään itse onnistunut saamaan kaikkia vastauksia oikein…

Kokeet aiheuttivat sähinää ihmisten keskudessa. Kysymyksistä puhuttiin paljon ruokalassa ja tauoilla sekä pikaviestimissä. Oikeista vastauksista ja Ambientian sääntöjen parantamisesta tuli aika hyvin palautetta. Se oli onnistumien! Olimme varmistaneet, että ihmisillä oli riittävä osaaminen Ambientian säännöistä, mutta vielä oleellisempaa oli, että se oli tehty siten, että tästä aiheutui paljon keskustelua ja palautetta. Näköjään kokeilla voi olla paljon positiivisia vaikutuksia. Lopuksi vielä palkitsimme parhaat tietoturvatietäjät pienillä palkinnoilla koko firman sisäisessä tapahtumassa.

Black Hat Dayssä tehdään sisäistä hakkerointia

Black Hat Day on Ambientian työntekijöiden hakkerointiitapahtuma. Ajatuksena on se, että Ambientian omat ihmiset tuntevat meidän käytössä olevat sovellukset ehdottomasti parhaiten. Useimmat ovat vielä kiinnostuneita tietoturvallisuudesta, joten he ovat hyviä ihmisiä selvittämään Ambientian sovellusten aukkoja tai toimintatapojen puutteita.

Ensin olemme tietoturvaorganisaation kanssa sopineet halutut kohteet. Sen jälkeen päivään valitaan sopivasti kiinnostuneita ja kohteisiin liittyviä ihmisiä. Päivän kulku menee hieman samalla tavalla, kuin ShipIt Dayn aikana. Kohteiden perusteella ihmiset saavat valita hyökkäysmenetelmänsä parhaan kykynsä mukaan. Päivän aikana ihmiset kertovat usein mitä ovat tekemässä ja saavat palautetta muilta osallistujilta mitenvoisivat kenties hyödyntää muita ajatuksia tekosissaan. Päivän lopuksi tulokset raportoidaan ja etsitään niihin korjauskeinoja. Usein Black Hat Dayn aikana on löytynyt sellaisia haavoittuvuuksia, joita ei ole yksinkertaisesti muuten löydetty.

Black Hat Dayn tarkoitus ei ole korvata ulkopuolista teknistä arviointia, vaan täydentää sitä omien asiantuntevien ihmisten työpanoksella. Kummasti tämäkin menetelmä innostaa ihmisiä raportoimaan haavoittuvuuksia ja innostaa heitä kiinnitämään itse kirjoittamansa koodin turvallisuuteen. Se on todella tärkeää Ambientian ja asiakkaidemme kannalta.

Leave a Reply

  • (will not be published)

Time limit is exhausted. Please reload CAPTCHA.

Please, leave us a message and we'll contact you.
You can also contact our Service Desk by phone +358 290 010 500 or email servicedesk@ambientia.fi.