E-turvalisust tuleb defineerida ja mõõta

E-rakenduste turvalisus algab tellija turvateadlikkusest ja soovist turvalisusesse investeerida. Tihti jäetakse Eestis  hangete kriteeriumites turvanõuded üldse või piisava detailsusega mainimata. Kui kolm peamist tarkvaraarenduse kriteeriumit on toimimine, tähtajast kinnipidamine ning hind, siis turvalisus ei satu paraku isegi mõõdikute nimekirja, sest praktilisi turvalisuse rakendamise ja mõõtmise nõudeid ei osata defineerida.

Veebirakenduste mõõdetavad turvanõuded defineerib kõige paremini ASVS (Application Security Verification Standard) standard, mis hõlmab 14 kontrollikategooriat. Parim küberturvalisuse mõõdik on testimine ja veebirakenduste puhul annab kindlaima tulemuse käsitsi testimine kogenud meeskonna poolt. Automaatsed vahendid on piiratud.

ASVSi madalaim, esimene tase ongi automaatsete vahenditega testimine, mida võiks tellija või arendaja ise regulaarselt kasutada. Meie soovitatav minimaalne turvakontroll algab ASVSi teisest tasemest kehk käsitsi turvatestimisest ja soovitavalt ka koodi käsitsi ülekontrollimisest. Panganduses ja muudes kõrgema riskiga valdkondades kasutatakse aga kolmandat taset, mis hõlmab ka arhitektuuri kontrollimist.

Turvatest ei anna igavest indulgentsi, vaid on pelgalt pilguheit hetkeseisu. Turvalisusega tuleb järjepidevalt tegeleda. Erinevalt ründajast, kelle edukuseks piisab tihti vaid ühe turvavea leidmisest, siis peab kaitsja pidevalt kontrollima, leidma ja parandama kõik võimalikud vead. Iga järgneva arenduse apsakas või süsteemihaldajate näpuviga seadistuses või uuendustega viivitamine võib tekitada uusi tõsiseid haavatavusi. Turvalisus ei saa kunagi valmis ja selle tagamine on järjepidev protsess. Peame küsima, kas ehk on käes aeg hakata  turvalisuse mõõdikuid määratlema ja mõõtma.

Autor: Vilja Kiisler, Mehis Hakkaja