TigerTeam - suomalainen tietoturvablogi

Tietoturvallisuus ja etenkin tietoturvattomuus on monia tunteita herättävä aihe. Nixun konsultit osallistuvat usein asiakkaiden kehityshankkeisiin, joissa arvioidaan uusien ratkaisujen tai tuotteiden tietoturvallisuutta tai sitten olemme toisella puolella pöytää kehittämässä uuden liiketoiminnan turvallisuutta.

Tietoturvallisuus tuntuu olevan hyvää markkinointia

Hieman huvittuneina olemme seuranneet myös etenkin perinteisten IT-ratkaisutoimittajien tapaa vakuuttaa asiakkaansa ratkaisunsa tietoturvallisuudesta. Monet web-palvelujen käyttäjät ovat voineet huomata kuinka heidän käyttämänsä web-palvelu on ehdottoman turvallinen koska yhteys on SSL-suojattu.

Kaikki sovellusturvallisuutta tuntevat ymmärtänevät, että tällä lausumalla on vain vähän tekemistä sen kanssa, kuinka turvallista tietojen luovuttaminen sovellukseen on.

Maailmalta on mahdollista löytää myös kaikenlaisia tietoturvatodistuksia, joiden tehtävä on vakuuttaa asiakas siitä, että palvelu on turvallinen. Huvittavin löytämämme on PCI DSS -tietoturvastandardiin kuuluvan haavoittuvuusskannauksen “korvaava” Scanless PCI -palvelu, jossa siis ei näkemyksemme mukaan ole kyse mistään muusta kuin huijauksesta.

Nixun periaatteena on tyypillisesti ollut, ettemme lähde takaamaan minkään ratkaisun tietoturvallisuutta, koska täydellinen takaaminen ei vain ole mahdollista. Jos välineitä ja aikaa on riittävästi murtautuminen yleensä onnistuu. Tällöin kyse on asiakkaan liiketoimintaan liittyvästä riskienhallinnasta, eli siitä, kuinka paljon turvallisuuteen halutaan panostaa.

Nixun tapa antaa tunnustusta tietoturvallisuudesta

Katsottuamme kuitenkin aikamme alalla vallitsevaa epäselvyyttä lanseerasimme pari vuotta sitten Nixu Security Verified -sertifikaatin SaaS-palveluille, jonka avulla pyrimme varmistamaan, että asiakas joka sertifikaattia esittää on panostanut riittävästi turvallisuuteen - eli käytännössä kaikki sovelluksen kriittisiksi luokitellut haavoittuvuudet on korjattu ja sovelluksen ylläpito ymmärtää mitä jatkuva tietoturvallisuuden ylläpito tarkoittaa.

Sertifikaatin myönnämme vain niille asiakkaillemme, jotka ylläesitetyt ehdot täyttävät, esimerkiksi asiakkaamme Balancion on esittänyt tavoitteekseen sertifikaatin hankkimisen ennen tuotantoonmenoa; betassahan tällaista sertifikaattia ei ole.

Toki teemme työtä monien muidenkin kuin sertifioitujen asiakkaiden tai sovellusten kanssa, mutta noudatetaanko suosituksiamme vai ei, on toki aina loppukädessä asiakkaan oma valinta.

Loppukädessä Nixu, eikä mikään muukaan tietoturvayhtiö, voi koskaan taata minkään sovelluksen tai järjestelmän tietoturvallisuutta. Meistä, kuten varmasti muistakin aiheeseen vakavasti suhtautuvista, on kuitenkin tärkeää, että asiakkaat panostavat asiaan ja tekevät sen kunnolla, sen sijaan että hankkisivat feikki-todistuksia markkinointinsa tueksi.

Petri Kairinen vastaa Nixun myynnistä ja markkinoinnista ja on ihmeissään seuratessaan netin tarjoamia esimerkkejä tietoturvalla tapahtuvasta myynninedistämisestä