E-turvalisust tuleb defineerida ja mõõta

Enamikku Eesti e-rakendustesse saab ID-kaardi või muu autentimisviisiga sisse logida samahästi kui igaüks. See tähendab, et teenus on internetis 24 tundi kättesaadav nii kasutajatele kui ka potentsiaalsetele ründajatele. Loomulikult oleks parim, kui arendajad toodaksid ainult turvalist koodi, aga paraku on eksimine inimlik ja turvalisuse nõuded tuleb eelnevalt selgelt defineerida.

E-rakenduste turvalisus algab tellija turvateadlikkusest ja soovist turvalisusesse investeerida. Tihti jäetakse Eestis  hangete kriteeriumites turvanõuded üldse või piisava detailsusega mainimata. Kui kolm peamist tarkvaraarenduse kriteeriumit on toimimine, tähtajast kinnipidamine ning hind, siis turvalisus ei satu paraku isegi mõõdikute nimekirja, sest praktilisi turvalisuse rakendamise ja mõõtmise nõudeid ei osata defineerida.

Veebirakenduste mõõdetavad turvanõuded defineerib kõige paremini ASVS (Application Security Verification Standard) standard, mis hõlmab 14 kontrollikategooriat. Parim küberturvalisuse mõõdik on testimine ja veebirakenduste puhul annab kindlaima tulemuse käsitsi testimine kogenud meeskonna poolt. Automaatsed vahendid on piiratud.

ASVSi madalaim, esimene tase ongi automaatsete vahenditega testimine, mida võiks tellija või arendaja ise regulaarselt kasutada. Meie soovitatav minimaalne turvakontroll algab ASVSi teisest tasemest kehk käsitsi turvatestimisest ja soovitavalt ka koodi käsitsi ülekontrollimisest. Panganduses ja muudes kõrgema riskiga valdkondades kasutatakse aga kolmandat taset, mis hõlmab ka arhitektuuri kontrollimist.

Turvatest ei anna igavest indulgentsi, vaid on pelgalt pilguheit hetkeseisu. Turvalisusega tuleb järjepidevalt tegeleda. Erinevalt ründajast, kelle edukuseks piisab tihti vaid ühe turvavea leidmisest, siis peab kaitsja pidevalt kontrollima, leidma ja parandama kõik võimalikud vead. Iga järgneva arenduse apsakas või süsteemihaldajate näpuviga seadistuses või uuendustega viivitamine võib tekitada uusi tõsiseid haavatavusi. Turvalisus ei saa kunagi valmis ja selle tagamine on järjepidev protsess. Peame küsima, kas ehk on käes aeg hakata  turvalisuse mõõdikuid määratlema ja mõõtma.

Osale arutelus

  • Vilja Kiisler, Mehis Hakkaja

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

Derivco is looking for a QA SPECIALIST

Derivco Estonia OÜ

01. märts 2018

Nortal is looking for a HEAD OF MARKETING

Nortal AS

28. veebruar 2018

Tallinna Linnakantselei otsib IT TEENUSTE PROJEKTIJUHTI

Tallinna Linnakantselei

09. märts 2018

Arvamused

Teabevara