h1 - Korkeat standardit
Date: 24-10-2024
a) Selvitä seuraavien kappaleiden määritteet ja selitä omin sanoin mitä ne tarkoittavat: 3.2, 3.31, 3.56, 3.58, 3.77.
3.2
Hyökätä: Tarkoittaa edes jopa vain yritystä hyökätä, tuhota, muuttaa, päästä käsikis luvattomasti
johonkin tai varastaa jotakin omistusta.
Pelkästään tietoinen yritys pahanteosta määritellään hyökkäykseksi
3.31
Tietoturva tapaus: Tarkoittaa yhtä tai useampaa ei haluttua/ odottamatonta murtautumista järjestelmään,
jolla on merkittävä todennäköisyys vaarantaa liiketoiminta ja tietoturva.
Tilanne missä odottamattomasti hyökätään järjestelmään, silleen että se vaarantaa liiketoiminnan
3.56
Vaatimus: Tarve tai odotus joka on kerrottu, oletettu tai vaadittu
3.58
Arviointi: Tehtävä joka on aloitettu selvittääkseen, että onko kyseessä oleva asia saavuttanut
tarvittavat päämäärät
Kun selvitetään että onko kyseinen asia asettamien tavoitteiden mukainen
3.77
Haavoittuvuus: Jokin heikkous kyseisessä asiassa tai prosessissa, jota pystytään hyödyntämään yhteen tai
useampaan uhkaan.
Jokin heikkous joko asiassa tai prosessissa mistä muodostuu uhka
(SFS 2020, 1-11)
b) Tutustu standardiin ISO 27034-1 - 5. Selvitä mistä standardi kokonaisuudesta on kyse.
Tämä standardi on ohjelmistokehitystä varten. Se sisältää viitekehyksen koko
ohjelmistokehityksen elinkaaren ajalle. Näin siis se auttaa yrityksiä kehittämään ja hallinnoimaan
ohjelmistoja tietoturvallisesti. Tämä standardi ottaa myös huomioon organisaation
riskienhallintaprosessit.
(ISO 2011)
c) Kuuntele podcast: Meurman 2021: Laatulöpinät 30: Tietoturvallisuus ohjelmistokehityksessä. Mitä mieltä olet podcastin väittämistä?
1. Mikään ohjelmisto ei ole täysin tietoturvallinen?
Olen ihan samaa mieltä tästä itsekkin, koska hetki sitten törmäsin tämmöseen tietoturva tutkijaan, joka
oli onnistunu kaappaamaan RAM muistista tulevaa ääntä ja kääntämään sen radiotaajuksiin, minkä jälkeen
se pystyi keräämään kaiken datan mitä ram muistilta juoksi läpi, eli en ole kauhean optimistinen.
Aina löytyy joku joka onnistuu löytämään jonkun pienen porsaanreiän, mistä pääsee sisään.
2. Hallinnollinen tietoturva on teknisen tietoturvan onnistumisen edellytys.
Hallinnollinen tietoturva antaa ne raamit ja ohjeet niille ihmisille myös, jotka eivät tee teknistä tietoturvaa työkseen. Hallinnollinen tietoturva myös useinmiten meinaa että johtoporras on ottanut tietoturvan prioriteetikseen, mikä taas tarkoittaa, että asia on oikeasti prioriteetti.
Roistot menevät aina sieltä mistä he pääsevät vain sisään. Ja kun tiedetään että tietoturvassa useinmiten ihminen on se heikoin lenkki. Niin sillä ei ole väliä kuinka hyvä tekninen tietoturva yrityksessä on, mikäli joku päästää pahikset etuovesta sisään.
3. Automaatiotestaus on ohjelmiston tietoturvan kannalta erittäin tärkeää.
Tietyssä mittakaavassa sille on paikkansa, hoitaakseen yksinkertaisia asioita laajoissa projekteissa. Mutta se ei todellakaan ole virheetön eikä välttämättä erittäin tärkeäkään. Syynä tähän se, että joku joutuu koodaa ne kontrollit ja uusia hyökkäys vektoreita on vaikea tarkistaa millään kontrolleilla.
Sen voi ajatella vähän niinkuin ChatGPT:n. Että se on työkalu, mikä helpottaa rutiininomaisissa tehtävissä ja on hyvä apuri, mutta ettei siihen saa ikinä tukeutua täysin ja että se ei toimi aina niin kuin ollaan ajateltu tai toivottu.
4. Ohjelmistoa suunniteltaessa voidaan tehdä paljonkin auttamaan käyttäjää toimimaan tietoturvallisesti. Usein nämä toimenpiteet kuitenkin vaikuttavat negatiivisesti käytettävyyteen.
Kun prosessit suunitellaan alusta asti tästä näkökulmasta, harvemmin siitä koituu käyttäjille käytettävyyden kanssa ongelmia. Kun nämä mietitään heti alusta asti ja toteutetaan tarpeiden mukaan. Eli siis nimenomaan jos EI suunitella näitä, niin nämä ongelmat tulee esiin.
Tilanne on sit taas eri, jos tarve tämmöiselle tulee myöhemmin ja ne yritetään vaan jotenkin liittää osaksi järjestelmää. Tällaisissa tapauksissa useinmiten käytettävyys ottaa osumaa.
5. Ohjelmiston tietoturvallisuuden suunnitteluun vaikuttaa paljolti se, kuinka arkaluonteisia tietoja ohjelmistolla on tarkoitus käsitellä.
Jokseenkin joo, esimerkiksi ohjelmisto ei välttämättä vaadi vahvaa kirjautumista. Mutta tästä huolimatta se ei tarkoita sitä, että jos on liiketoiminta jolla on vain staattinen nettisivu, etteikös sen tietoturva olisi tärkeää.
Johten siis siitä että se voi olla melko kriittinen liiketoiminnalle ja sen johdosta hyvä tietoturva olisi kuitenkin tärkää.
6. Ohjelmistokehittäjät näkevät omat ohjelmistonsa aina merkittävästi riskialttiimpina, kuin muiden tekemät ohjelmistot.
Joo, varmasti johtuu siitä, että omaa koodia aina ymmärtää paremmin ja läpikotasin, ja näkee ne riskit ja hyökkäysvektorit, mitkä voivat olla alttiita.
Kun taas toisen takapiha on vähän vieraampi, mikä sitten johtaa semmoiseen harhaluuloon, että hän tietää mitä tekee, ja siellä ei varmasti ole mitään reikäjuustoa koodin seassa.
(Meurman 2021)d)Asenna Debian 12-Bookworm virtuaalikoneeseen. Päivitä kaikki ohjelmat.
Asensin Debian 12 virtuaalikoneen.
Lähteet
1. SFS 2020. SFS-ISO/IEC 27000:2020. Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. SFS-ISO/IEC 27000:2020. Link
2. ISO 2011. ISO/IEC 27034-1:2011. Information technology -- Security techniques -- Application security -- Part 1: Overview and concepts. ISO/IEC 27034-1:2011. Link
3. Meurman, J. 2021. Laatulöpinät 30: Tietoturvallisuus ohjelmistokehityksessä. Link