Skip to main content

· 3 min read
Tuomas Tonteri

Toisinaan yrityksissä pohditaan tietoturvatyötä suunniteltaessa, kannattaako esimerkiksi ohjelmistotuotetta tekevän yrityksen teettää tietoturvatestaus vai tietoturva-auditointi. Melko usein näitä termejä käytetään myös ristiin, eikä välttämättä termin käyttäjä aina itsekään tiedä, kumpaa tulisi käyttää. Usein puhutaan tietoturva-auditoinnista, vaikka tarkoitetaan tietoturvatestausta.

Onko näillä termeiltä siis eroa laisinkaan? Onko verkkopalvelu kahden viikon tietoturvatestauksen jälkeen ISO 27001 -mukainen?

Tietoturvamalli

Tietoturvatestaus on tyypillisesti tutkivaa, eksploratiivista, testausta jossa kohdejärjestelmää toki käydään systemaattisesti läpi, mutta testaajien huomio väistämättä ohjautuu tehtyjen havaintojen ja aiemman kokemuksen perusteella kohti todennäköisimmiksi oletettuja haavoittuvaisia kohtia järjestelmässä. Ohjelmiston toiminnallisuutta testataan käyttämällä järjestelmää, lähettämällä sille muunneltuja ja tarkoituksella odottamattomia tai rikkinäisiä pyyntöjä tarkoituksena aiheuttaa epävakautta tai muuta odottamatonta käyttäytymistä, joka paljastaisi hyödynnettävissä olevia puutteita järjestelmän toiminnassa tai sen suojauksissa. Järjestelmän eri osioihin sovelletaan vaihtelevaa testitapausten joukkoa. Yksittäistä toimintoa kohti saatetaan lähettää kymmeniätuhansia erilaisia pyyntöjä, joilla haetaan toiminnallisia rajatapauksia ja suojauslogiikan ulottuvuuksia. Oli lähestymistapa mikä tahansa, tietoturvatestaus ei koskaan voi olla kaikkia syötevariaatioita ja toiminnallisen logiikan haaroja tai kutsusekvenssejä täydellisesti kattava kokonaisuus.

Ei tietenkään ole mahdotonta sekään, että tietoturvatestaus kohdennetaan hyvin kapeaan kohdejärjestelmän osa-alueeseen, esimerkiksi pelkkään kirjautumiseen, ja sen varmatoimisuuden varmistamiseksi määritellään tarkat määrämuotoiset testitapaukset ja rakennetaan testauksen suorittamiseen täsmäautomaatiota hyvän testauskattavuuden (logiikan haarautumisten ja syötteiden raja-arvojen kannalta) saavuttamiseksi. Tästä voi olla jatkossa merkittävää hyötyä tietoturvan regressiotestauksen toteuttamisessa.

Tietoturvatestauksen laajuutta ja kattavuutta rajoittaa edellä mainittujen seikkojen ohella aina myös projektin rajaukset sekä käytettävissä olevan varatun ajan ja työmäärän raamit. Lopputuloksena saadaan käytettyyn työmäärään ja testauksen laajuuteen suhteutettuna paras mahdollinen selvitys kohdejärjestelmän tietoturvallisuudesta esimerkiksi käyttöliittymän ja API-rajapintojen näkökulmasta. Kohdejärjestelmän tietoturvatestausta voi lähestyä monella eri tapaa, testaten itse ohjelmistoa, sen ajoympäristöä, integraatioita tai vaikkapa kokonaisuuden kyvykkyyttä säilyttää tietojen eheys poikkeus- ja virhetilanteissa. Sattumallakin on luonnollisesti osuutensa toteutuviin löydöksiin.

Jos tietoturvatestaus on epätarkka ja moniulotteinen termi, auditointi pistää kyllä paremmaksi. Vakiintuneemmat määritelmät lähtevät siitä, että auditointi on tyypillisesti ulkopuolisen tahon tekemä joidenkin kriteerien toteutumisen selvittämiseen pyrkivä tapahtuma. Auditoinnit ovat siis eräänlaisia vaatimustenmukaisuusarviointeja, joissa keskeistä on päästä yksiselitteiseen lopputulokseen. Vaatimukset joko täyttyvät, tai eivät täyty. Tietoturva-auditoinnin täytyy siis olla tietoturva-aiheisten kriteerien toteutumisen arviointi. Arvioinnin kohteena voi olla käytännössä mikä tahansa, tietoturva-auditoinnissa esimerkiksi organisaatio toimintatapoineen, yrityksen IT-infra, verkkopalvelu tai muu tietojärjestelmä (ERP, CRM, toimisto-ohjelmistot jne.), ohjelmistokehityksen menetelmät, DevSecOps-käytännöt, ohjelmistoarkkitehtuuri ja niin edelleen. Arviointikohteen lisäksi on valittava, mitä kriteeristöä tai vaatimuskehikkoa auditoinnissa käytetään. Organisaation tietoturvallisuuden hallintaa voidaan mitoittaa esimerkiksi ISO 27001 mukaisesti, kehitystiimien toimintaa ja tietoturvan huomiointia vaikka OWASP SAMM -mallilla tai eri Secure SDLC -malleilla jos halutaan painottaa tietoturvallisuuden huomiointia läpi ohjelmistotuotannon prosessin. OWASP:n kattava Application Security Verification Standard (ASVS) -kehikko tarjoaa laajan läpileikkauksen tietoturvallisiin ohjelmistosuunnittelun, toteutuksen ja testauksen käytänteisiin.

Kuten monissa asioissa, tärkeintä on ylläpitää jatkuvaa tietoturvatyötä ja edetä siinä systemaattisesti. Eri kehikoita, toimintamalleja, kumppaneita ja asiantuntijoita kannattaa yhdistellä, jotta tarkastelukulma ja näkemykset uusiutuvat monipuolisemman ja kattavamman lopputuloksen eduksi. Käytännön testausta ja vaatimustenmukaisuusarviointeja on usein järkevää yhdistellä niin, että esimerkiksi tietojärjestelmän arkkitehtuurista arvioidaan tietoturvallisten suunnitteluperiaatteiden toteutuminen ja näiden jalkautuminen käytännön tietoturvatasoon varmistetaan arviointia tukevalla testauksella.

Tietoturvatestauksen suorittaminen ei tee kohteesta esim. ISO-standardin mukaista eikä ISO-auditoinnin läpäisy tee kohteesta tietoturvallista. Kumpaakin lähestymistapaa tarvitaan.

Tietoturvatestaus ei siis anna absoluuttisia vastauksia järjestelmän turvallisuudesta. Auditoinnin tulokset kertovat, toteutuvatko valitut vaatimukset auditoijan näkemyksen mukaan. Miten siis varmistettaisiin vaikkapa yrityksen tietoturvallisuus? No, se nyt ainakin on selvää, että toimialana meillä on vielä paljon kehitettävää ja opittavaa, mutta hyviä menetelmiä ja työkaluja monipuoliseen tietoturvatyöhön jo löytyy.

· 3 min read
Tuomas Tonteri

Vain muutos on pysyvää

Vuoden 2010 perustamisesta asti toimimme yhden osakeyhtiön alla, kunnes vuoden 2020 alusta siirsimme varsinaisen asiakasliiketoiminnan kahden uuden yhtiön alle, samalla selkiyttäen kyberturvallisuusliiketoiminnan sekä ohjelmistotuotannon- ja palvelin-liiketoiminnan omiksi kokonaisuuksiksiin. Uusien tytäryhtiöiden ensimmäinen vuosi toi mukanaan monien hallinnollisten uudistusten ja organisoitumisten lisäksi myös koronapandemian ja suurimman ohjelmistoasiakkaamme vetäytymisen Suomen alihankinnasta. Tämä tarkoitti meille suurta tiputusta liikevaihdossa ja samaan aikaan asiakaskunnassa pandemian pintauttamaa varovaisuutta uusien projektien käynnistämisessä. Vuoden 2020 mittaan päädyimme tekemään useita lomautuksia, joita myöhemmin pystyimme toki perumaankin. Tämä johti kuitenkin lopulta tiimin pienentymiseen ja edellytti kaikilta suurta venymistä omissa vastuualueissaan.

Haastavimman yli on kuitenkin p√§√§sty ja uutta kasvua rakennetaan yhdess√§. Isoin kiitos kuuluukin kaikille elfGROUP:n toiminnassa t√§h√§n menness√§ mukana olleille ‚ÄĒ ty√∂ntekij√∂ille, kumppaneille ja tietenkin my√∂s mahtaville asiakkaillemme! Onneksi korona ei ole koetellut rivej√§mme ja toimiala itsess√§√§n p√§rj√§√§ oikein hyvin et√§t√∂idenkin merkeiss√§.

Cyber Security CUBE

Olemme jatkaneet Cyber Security CUBE -tuotteen ja -palvelualustan kehittämistä. Saimme Business Finlandin myöntämää rahoitusta projektille ja 2020-2021 projektijakson aikana edistyikin useampi merkittävä toiminnallisuus tietoturvatestausten, tietoturvahallinnan ja ohjelmistovarmuuden tukemiseen. CUBEa käytämme asiakkaittemme kanssa tietoturvatestausten yhteydessä. Tästä lisää piakkoin (tiedän, kirjoitin vuosi sitten, että uuden sivuston sisältö valmistuu lähiviikkoina ja nyt kirjoitan sitä seuraavaa blogipostausta!).

2021 koitti kuin koittikin

elfGROUP:n toinenkin koronavuosi on sujunut vauhdikkaissa, mutta haastavissakin merkeissä.

Keväällä osallistuimme Cyber Security Executive 2021 -etätapahtumaan virtuaalikojullamme. Mielenkiintoinen kokemus, mutta kyllä oikeat naamamessut ja ihmisten kohtaaminen moniulotteisissa keskusteluissa toimivat paremmin. Olimme mukana myös kansainvälistymishankkeessa ja mm. keskustelut CUBE-alustan ympärillä tehtävästä yhteistyöstä jatkuvat saksalaisten yritysten kanssa.

Laadun (ISO 9001) / ja tietoturvan (ISO 27001) hallintaa

Toukokuussa Bureau Veritaksen auditoijat suorittivat elfGROUP:n konserniyhtiöiden osalta ISO 9001 ja ISO 27001 -sertifiointien toisen määräaikaisauditoinnin. Jatkamme kaikkien muutosten keskellä ja niistä huolimatta laadunhallinnan ja tietoturvallisen toiminnan ylläpitämistä.

Rekrytointeja

Keväällä aloitimme myös rekrytoinnit, osaavia ja kokeneita tekijöitä on todellakin haastavaa löytää ja osaltaan haku jatkuu edelleen. Turvatekniikan alalla kokemusta kosolti niittänyt Reijo saapui meille myyntitiimin vahvistukseksi sekä myöhemmin keväällä saimme elfGROUP-tiimiin kolme loistavaa "ässää", kun Sanna, Santeri ja Salla tulivat mukaan. Näillä rekryillä vahvistimme tietoturvatestauksen, laadunhallinnan, hallinnon ja viestinnän kyvykkyyksiä ja koko toimintavalmiutta. Ja kyllä asiat ovatkin sittemmin edenneet loistavasti useammalla rintamalla. Tervetuloa tonttujengiin ja kiitos luottamuksesta!

Katse eteenpäin

Nyt olemme tilanteessa, jossa syksyn projektikalenteri näyttää häikäisevän täydeltä hyvin monipuolisista toimeksiannoista. Se on upeaa ja kertoo siitä, että kaikenkokoisissa yrityksissä panostetaan tietoturvallisuuden kehittämiseen. Itse uskon sen kertovan myös siitä, että valitsemamme linja asiakkaiden tarpeen kuuntelemisesta sekä vahvan tietoturvaosaamisen ja viimeistellyn jäljen näyttämisestä kaikissa vuorovaikutustilanteissa on ollut meille oikea tie. Olemme aktiivisesti hakemassa kasvua ja etsimässä yhteistyökumppaneita, jotka toiminnassaan jakavat nämä arvot.

Vajaan vuoden pohdinnan jälkeen päätimme palauttaa suomenkielen kotisivuille ja olemmekin nyt julkaisseet koko sivuston myös suomeksi. Blogien osalta tulemme todennäköisesti pitämään hybridimallin, jossa sisältöä tuotetaan harkinnan mukaan kummallakin kielellä.

Hyvää syksyä kaikille!

terv. Tuomas

· 2 min read
Tuomas Tonteri

Welcome to the refreshed elfGROUP web site.

We have been using HubSpot for the past few years as a CRM platform, marketing automation tool and a website hosting platform. Few months back we made the decision to transition to a more lightweight, customizable, performant and secure approach, which we are also hosting on our own elfCLOUD servers. The site is built with Docusaurus and allows us to do flexible and straightforward updates, focusing on the content quality.

As we go live today, not all of the content is yet migrated. We are not just copying the old content, but updating and improving it in many ways. Most essentially selected blogs, customer cases and references are yet to be migrated, which we hope to complete still in September.

One noticeable change is that we've dropped the Finnish version and a lot of the cyber security articles and pages that were more targeted to "B2B general public" audience, with perhaps less cyber security domain knowledge. We have come to realize, that our customer segment is very well informed on the subject matter and we want to direct all of our energy to providing accurate and to-the-point information that all of you deserve and expect from us.

Welcome to the new site and let us know if you have any thoughts or comments on the changes made and how can we further improve.

Circumstances considered, have a great remaining 2020 and stay safe.

Best regards, Tuomas.

· 3 min read
Tuomas Tonteri
Case FCG Talent

Case FCG Talent: Reassurance to Cyber Security in Cooperation with Cyber Security Specialists

FCG Talent is a Finnish company that develops modern, innovative and user-friendly software solutions for recruitment, HR data management and personnel introduction and development. Their best-known product is the Kuntarekry.fi service, a recruitment portal used by nearly every municipality in Finland, with almost 2 million users. Technology Manager Petri Tuomaala from FCG Talent describes information security as one of the pivotal factors in their products and processes.

FCG Talent looked for an external actor to examine their R&D operations and the level of their information security. According to Mr. Tuomaala, internal processes can be developed to a certain point in-house, but to get to the next level, external opinion and specialists are needed for an out-of-the-box view.

‚ÄúPaying attention to information security is important in software development and demands continuous attentiveness. This cooperation with elfGROUP gives us reassurance and cyber security specialist view ‚Äď that‚Äôs what we are willing to pay for,‚ÄĚ Mr. Tuomaala states.

The cooperation has had flexible ways of working from the beginning. Service and help have been available in agile manner, responding quickly to service requests. Real-time communication and reporting without delay enable reacting to all possible findings immediately.

Comprehensive cyber security work ahead

FCG Talent has been in cooperation with elfGROUP since spring 2018. They have a continuous, monthly-based contract on cyber security work that concentrates on improving cyber security in a topical matter each month. Within the monthly work, elfATTACK cyber security testing has been carried out to FCG Talent’s all products, including their different user interfaces and user roles. Continuously developing software demands continuous cyber security work, where this monthly cooperation fits in perfectly.

The cooperation that has lasted already for 1.5 years, has advanced from cyber security testing to more comprehensive cyber security awareness. Lately, the work has concentrated on developing FCG Talent’s R&D processes and ways of working. The OWASP ASVS analysis has been carried out to support this work, to find the next steps that lead the information security work forward. Tuomaala envisions that in the future the cooperation concentrates more on functional specifications.

‚ÄúCyber security assurance taking place afterwards isn‚Äôt the most efficient way of operating. In the future, our objective is to develop this cooperation to affect our processes on a deeper level and thereby improve paying attention to cyber security aspects in as early stage as possible,‚ÄĚ Tuomaala explains.

R&D that considers cyber security aspects from the beginning is both cost-effective and time-saving, when corrective rounds are not needed for software that is ready for launch, but instead the information security has been part of every stage of the development work and in all layers of the software architecture. Cyber secure software products are ready for market quickly, and the time-consuming corrective rounds won’t delay the profitability of the software.

· 3 min read
Tuomas Tonteri
elfGROUP accomplished ISO 27001 Information Security Management System (ISMS) certification

elfGROUP accomplished ISO 27001 Information Security Management System (ISMS) certification

elfGROUP’s all operations have been certified according to the internationally recognised information security management system standard ISO 27001. Bureau Veritas has audited our operations and granted us the certification on July 3rd, 2019. We announced our ISO 9001 news this April, and now our certification portfolio includes also the information security management certification. The certification audit was a thorough process for the whole company. The audit was carried out for both the ISO 9001 quality management system and the ISO 27001 information security management system at the same time.

Persistent work to achieve the certifications

For several years now, we’ve carried out internal development activities with process and quality control improvements, as well as creating an operational handbook that documents and aligns all elfGROUP’s practices. Developing and implementing work instructions, policies and guidelines to standardize our internal procedures and our way of fulfilling different assignments has formed a big part of the development work that our COO Katja Tonteri has lead. Throughout the years it has been important and rewarding to see these policies come alive and become an integral part of our daily work.

The ISO standard conformity has required a lot of documenting of our procedures and events. Also many of the already existing administrative and technical information security practices we had to put in writing and ensure that the defined way is consistently practised. We have experienced this development as a positive improvement ‚Äď although documentation and all this formality brings along some extra work, it‚Äôs definitely worth the effort. For example, defining and actually following your risk management process, or specifying organizational roles, are often easily left undone in a small company. However, according to my experience with elfGROUP‚Äôs small organization of 15 people, such standards driven management system is a solid foundation for developing the company and the business. The standardized framework is very comprehensive and is well suited to many different industries.

For sure, the audit wasn’t just a documentation exercise. elfGROUP’s chief information security officer and senior cyber security specialist Markus Hamara and IT manager Edward Shornock got to, amongst other things, showcase our readiness for a disaster recovery of critical IT systems in a simulated situationwhere the primary data center would not be available at all.

Fluent cooperation

This development work hasn’t been done in isolation, although information security work is often surrounded by a veil of secrecy. Already for a long time we have worked in cooperation with Oulu Business Networks’ (OBN) quality, process and business development specialists. Also, the cooperation with Bureau Veritas during the audit process was very fluent. I’d like to take this opportunity to thank all our cooperation partners who have supported us and especially elfGROUP’s personnel for their continued commitment in the quality and information security focused operations in our everyday work.

We have already received positive feedback from few of our customers concerning the certification news. The certifications build up credibility in our operations and in the confidentiality statements we provide our customers with. I believe that all the experience and know-how accumulated from this development work will contribute to our cyber security excellence and will directly benefit also our customers.

See our ISO 27001 certificate here.

· One min read
Tuomas Tonteri
elfGROUP is certified with the ISO 9001

elfGROUP is certified with ISO 9001

elfGROUP’s operations have been certified according to the internationally recognised quality management system ISO 9001:2015. Bureau Veritas has audited our operations and granted us the ISO 9001 certification on April 12th, 2019.

The ISO 9001 standards provide guidance and tools for companies and organizations who want to ensure that their products and services consistently meet customer’s requirements, and that quality is consistently improved. It is based on quality management principles, such as customer focus, process approach and fact-based decision making, to name a few.

See our ISO 9001 certificate here.