Implementing security controls in existing system
Savonen, Henri (2016)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2016121620815
https://urn.fi/URN:NBN:fi:amk-2016121620815
Tiivistelmä
Opinnäytetyön päätavoite oli tutkia jo olemassa olevan ja vanhan tietojärjestelmän mahdollisuuksia vastata tämänhetkisiin tietoturvakriteereihin. Työn käytännön osuuden aikana tehtiin yhden järjestelmän turvallisuuden korottaminen, jossa jo tuotannossa olevaa järjestelmää muokattiin siten, että se vastaisi tämänhetkisen kansallisen auditointikriteetistön vaatimuksia.
Aihe on ajankohtainen kyberturvallisuuden alalla, sillä kansallisen auditointikriteeristön mukaan tietoturvan ongelmat tulisi ottaa huomioon jo suunnitteluvaiheessa, mutta se on osoittautunut käytännössä mahdottomaksi. Teoreettisena viitekehyksenä on käytetty tämänhetkisiä kyber-uhkia ja parhaita toimintamalleja (VAHTI, ISO207001, KATAKRI, jne.).
Tutkimus on toteutettu laadullisena tapaustutkimuksena ja jaettu kolmeen caseen. Tavoite oli löytää uhkia, kuinka rajoittaa niiden vaikutusten haitallisuutta, sekä löytää eroja yleisesti esitettyjen parhaiden toimintamallien ja auditointikriteerien välillä, kun käsitellään vanhaa ja uutta järjestelmää.
Jos tietoturvaohjelmistoa ei voida asentaa kohdeympäristöön, ei tapahtuvia turvallisuusseikkoja voida havaita, kun ulkopuolelta tuotua dataa puretaan käyttöön ympäristössä. Jos järjestelmä ei ole päivittyvä, jatkuva kehitys häiriintyy ja OODA-silmukka rikkoutuu herkästi. Jos silmukan yksi osa rikkoutuu, se vaikuttaa myös kaikkien muiden osien toimintaan. Jos järjestelmä on uusi, on helpompi pysyä selvillä kaikesta julkisesti saatavilla olevasta tiedosta sekä tehdä sopimuksia, jotka rajoittavat tiedon käyttöä ja julkaisua.
Tulosten valossa vaikuttaisi olevan mahdotonta mitata, miten järjestelmän koventaminen on tehty, jos tunnistus- ja torjuntamenetelmiä ei testata ja niiden käyttöä ei harjoitella.
Aihe on ajankohtainen kyberturvallisuuden alalla, sillä kansallisen auditointikriteeristön mukaan tietoturvan ongelmat tulisi ottaa huomioon jo suunnitteluvaiheessa, mutta se on osoittautunut käytännössä mahdottomaksi. Teoreettisena viitekehyksenä on käytetty tämänhetkisiä kyber-uhkia ja parhaita toimintamalleja (VAHTI, ISO207001, KATAKRI, jne.).
Tutkimus on toteutettu laadullisena tapaustutkimuksena ja jaettu kolmeen caseen. Tavoite oli löytää uhkia, kuinka rajoittaa niiden vaikutusten haitallisuutta, sekä löytää eroja yleisesti esitettyjen parhaiden toimintamallien ja auditointikriteerien välillä, kun käsitellään vanhaa ja uutta järjestelmää.
Jos tietoturvaohjelmistoa ei voida asentaa kohdeympäristöön, ei tapahtuvia turvallisuusseikkoja voida havaita, kun ulkopuolelta tuotua dataa puretaan käyttöön ympäristössä. Jos järjestelmä ei ole päivittyvä, jatkuva kehitys häiriintyy ja OODA-silmukka rikkoutuu herkästi. Jos silmukan yksi osa rikkoutuu, se vaikuttaa myös kaikkien muiden osien toimintaan. Jos järjestelmä on uusi, on helpompi pysyä selvillä kaikesta julkisesti saatavilla olevasta tiedosta sekä tehdä sopimuksia, jotka rajoittavat tiedon käyttöä ja julkaisua.
Tulosten valossa vaikuttaisi olevan mahdotonta mitata, miten järjestelmän koventaminen on tehty, jos tunnistus- ja torjuntamenetelmiä ei testata ja niiden käyttöä ei harjoitella.