Enamikku Eesti e-rakendustesse saab ID-kaardi või muu autentimisviisiga sisse logida samahästi kui igaüks. See tähendab, et teenus on internetis 24 tundi kättesaadav nii kasutajatele kui ka potentsiaalsetele ründajatele. Loomulikult oleks parim, kui arendajad toodaksid ainult turvalist koodi, aga paraku on eksimine inimlik ja turvalisuse nõuded tuleb eelnevalt selgelt defineerida.
E-rakenduste turvalisus algab tellija turvateadlikkusest ja soovist turvalisusesse investeerida. Tihti jäetakse Eestis hangete kriteeriumites turvanõuded üldse või piisava detailsusega mainimata. Kui kolm peamist tarkvaraarenduse kriteeriumit on toimimine, tähtajast kinnipidamine ning hind, siis turvalisus ei satu paraku isegi mõõdikute nimekirja, sest praktilisi turvalisuse rakendamise ja mõõtmise nõudeid ei osata defineerida.
Veebirakenduste mõõdetavad turvanõuded defineerib kõige paremini ASVS (Application Security Verification Standard) standard, mis hõlmab 14 kontrollikategooriat. Parim küberturvalisuse mõõdik on testimine ja veebirakenduste puhul annab kindlaima tulemuse käsitsi testimine kogenud meeskonna poolt. Automaatsed vahendid on piiratud.
ASVSi madalaim, esimene tase ongi automaatsete vahenditega testimine, mida võiks tellija või arendaja ise regulaarselt kasutada. Meie soovitatav minimaalne turvakontroll algab ASVSi teisest tasemest kehk käsitsi turvatestimisest ja soovitavalt ka koodi käsitsi ülekontrollimisest. Panganduses ja muudes kõrgema riskiga valdkondades kasutatakse aga kolmandat taset, mis hõlmab ka arhitektuuri kontrollimist.
Turvatest ei anna igavest indulgentsi, vaid on pelgalt pilguheit hetkeseisu. Turvalisusega tuleb järjepidevalt tegeleda. Erinevalt ründajast, kelle edukuseks piisab tihti vaid ühe turvavea leidmisest, siis peab kaitsja pidevalt kontrollima, leidma ja parandama kõik võimalikud vead. Iga järgneva arenduse apsakas või süsteemihaldajate näpuviga seadistuses või uuendustega viivitamine võib tekitada uusi tõsiseid haavatavusi. Turvalisus ei saa kunagi valmis ja selle tagamine on järjepidev protsess. Peame küsima, kas ehk on käes aeg hakata turvalisuse mõõdikuid määratlema ja mõõtma.
Autor: Vilja Kiisler, Mehis Hakkaja
Seotud lood
Koosoleku pidamine tähendab rohkemat kui lihtsalt arutelu – see hõlmab päevakorra koostamist, hääletusi, otsuste dokumenteerimist ja protokollide koostamist, kusjuures aina sagedamini toimuvad nõupidamised üle veebi. Eesti tarkvaraarendaja Ektaco on loonud lahenduse, mis viib koosolekute korraldamise uuele tasemele, olgu selleks aastakoosolek, avaliku sektori istung või aktsionäride üldkogu.