Ohjelmistojen turvallisuutta kannattaa parantaa ja vahvistaa
Digitalisoituvassa yhteiskunnassa moni toiminto on riippuvainen ohjelmistoista. Riippuvuuteen liittyy riskejä, jotka voivat olla uhka huoltovarmuuskriittisten organisaatioiden toimintakyvylle. Kyberturvallisuuskeskuksen kehittämishanke vahvistaa ohjelmistoturvallisuuden tasoa.
Huoltovarmuusorganisaation Digipooli on tehnyt kahden vuoden välein kyberkypsyysarviointeja, joihin osallistuu noin 130 yritystä eri toimialoilta. Arvioinnit antavat arvokasta tietoa kehittämistarpeista eri toimialoilla. Vuosien 2020 ja 2022 arvioinneissa toistui selkeä havainto: ohjelmistoturvallisuudessa on parantamisen varaa.
”Selvityksessä havaittiin, että käytännöt vaihtelevat paljon, ja ohjelmistoturvallisuuden maturiteettitaso riippuu vahvasti organisaatiosta”, kertoo Kyberturvallisuuskeskuksen johtava asiantuntija Karoliina Kemppainen.
”On organisaatioita, jotka ovat hyvin kartalla ja käytännöt mietittyinä, mutta osa yrityksistä tuskailee konkreettisten turvallisen tekemisen mallien ja liikkeelle lähdön kanssa. Tahtotilamme on, että yhä useammat organisaatiot löytäisivät sen keskitason ja tekisivät asioita perushyvin.”
Huoltovarmuuskeskuksen (HVK) johtavan varautumisasiantuntijan Juha Ilkan mukaan ohjelmistoturvallisuudessa on kehittämisen varaa kolmesta näkökulmasta: miten sitä tehdään, miten sitä koulutetaan ja miten sitä hankitaan.
“Pyrimme vaikuttamaan asiaan eri suunnista kuten kohdentamalla osaamista hankintoihin tai turvalliseen ohjelmistokehitykseen käytännössä. Ajatuksena on, ettei tehdä vain selvityksiä, vaan pyritään vaikuttamaan pitkäaikaisella tekemisellä ja tuomaan tietoa tekijöiden saataville”, kuvailee Ilkka.
Haavoittuvuudet uhkaavat koko arvoketjua
HVK rahoittaa ja tukee Kyberturvallisuuskeskuksen hanketta, joka kytkeytyy HVK:n digitaalisen turvallisuuden kehitysohjelmaan.
”Strategiset painopistealueemme HVK:ssa ovat energia, logistiikka, digitaalinen turvallisuus ja tiedon huoltovarmuus, elintarvike ja vesihuolto sekä tuotantotaloudelliset järjestelyt vakavan kriisin varalle. Panostamalla näihin vaikutetaan laajasti yhteiskunnan varautumiseen. Jokaisella painopisteellä on oma kehitysohjelmansa, ja ohjelmistoturvallisuus on yksi keskeinen asia, jolla yhteiskunnan digitaalista turvallisuutta voidaan parantaa”, taustoittaa Ilkka.
Digitaalisuus läpäisee nykyään kaiken toiminnan, ja ohjelmistot toimivat digitaalisen infrastruktuurin päällä.
”Yritykset nojaavat digitaalisuuteen läpikotaisin, joten sen turvallisuus pitää varmistaa. Kyse on verkostosta eli ei riitä, että yksittäinen organisaatio hoitaa tonttinsa, vaan koko verkoston ketju pitää saada turvalliseksi”, painottaa Ilkka.
Ohjelmistojen haavoittuvuudet voivat aiheuttaa merkittäviä riskejä huoltovarmuuskriittisille yrityksille. Pahimmillaan hyökkääjä voi päästä kiinni yrityksen keskeisiin liiketoimintatietoihin, varastaa tai salakirjoittaa niitä ja kiristää yritystä.
”Tämä aiheuttaa riskejä yrityksen toiminnan jatkuvuuteen ja liiketoimintaan. Yritys voi myös aiheuttaa riskin sille arvoketjulle, jossa se on mukana”, varoittaa Ilkka.
Tärkeintä on yrityksen kiinnostus ohjelmistoturvallisuuteen
Mistä organisaatioiden kannattaa aloittaa ohjelmistoturvallisuutensa parantaminen? Kun ohjelmistoturvallisuutta käsitellään johdon tasolla, se kytkeytyy paremmin yrityksen liiketoimintaan. Muuten se jää helposti it-lähtöiseksi ja “pistemäiseksi”, eikä ehkä saa ansaitsemaansa huomiota.
”Tärkeintä on, että organisaatio ja johto ovat aidosti kiinnostuneita aiheesta. Johto ei voi sälyttää vastuuta pelkästään ohjelmistokehittäjille, vaan kehittäjien työtä on tuettava ja annettava heille aikaa turvalliseen tekemiseen”, Kemppainen korostaa.
Yksi käytännönläheinen vinkki on uhkamallinnus. ”Se ei vaadi syväteknistä osaamista, ja sitä voi soveltaa laajasti. Sen avulla voi miettiä, minkälaisia uhkia kehitettävään asiaan liittyy ja lähteä sitä kautta miettimään ratkaisuja.”
Ohjelmistoturvallisuuteen tehdyt investoinnit maksavat itsensä takaisin muodossa tai toisessa.
”Ennakkoon maksettu turvallisuus käy halvemmaksi kuin jälkikäteen maksettu. On edullisempaa investoida ennakkoon kuin korjata vaurioita jälkikäteen, liittyvät ne sitten konkreettisesti ohjelmistoihin tai vaikka yrityksen maineeseen”, Kemppainen muistuttaa.
Koulutusyhteistyö ohjelmistoturvallisuuden ytimessä
Tulevaisuuden osaaminen varmistetaan koulutusyhteistyöllä oppilaitosten kanssa. Kemppainen on tyytyväinen siihen, miten hyvin oppilaitokset ovat ottaneet ohjelmistoturvallisuuden osaksi opetusta, sillä koulutus on oleellinen osa osaamisen kehittämisessä.
Toinen tärkeä seikka on EU:n uusi Cyber Resilience Act (CRA), joka tuo paljon asioita digitaalisen ohjelmistokehittäjän pöydälle. ”Nyt on hyvä aika tehdä turvallisia ohjelmistoja, sillä se on hyvää valmistautumista CRA:han. Sääntelyn tuomat vaatimukset eivät ole rakettitiedettä. Vähimmäisvaatimukset ovat ennemminkin sitä, mitä yritysten pitäisi tehdä jo nyt ohjelmistoturvallisuutensa eteen”, Kemppainen sanoo.
Kyberturvallisuuskeskuksen hanke toteuttaa selvityksessä tunnistettuja toimenpide-ehdotuksia ja antaa tukea ohjelmistoturvallisuuden tekemiselle. Hanke on käynnissä vuoteen 2027 asti ja sen vaikuttavuutta ohjelmistoturvallisuuteen seurataan tulevissa selvityksissä.
Teksti: Helka Herlevi / Kuvat: Kyberturvallisuuskeskus, Huoltovarmuuskeskus, Colourbox
