Haavoittuvuuksien hallinta ohjelmistoyrityksessä

Mistä lähteistä haavoittuvuuksia ilmoitetaan?

"Saamme tietoja tuotteissamme olevista haavoittuvuuksista eri lähteistä. Meillä on erillinen ryhmä työntekijöitä, jotka tekevät jatkuvaa penetraatiotestausta yrityksen n. 400:lle tuotteelle. Kaksi Bug Bounty -ohjelmaa tuottavat myös haavoittuvuusilmoituksia. Toinen ohjelmista on julkinen ja toinen yksityinen, jossa tunnetut valkohattuhakkerit etsivät haavoittuvuuksia Visman ohjelmistoista. Bug Bounty -ohjelmat on toteutettu yhteistyössä HackerOnen kanssa. Haavoittuvuusilmoituksista kiitetään löytäjää ja mahdollisista Bug Bountyista maksetaan 100-3000 dollarin korvaus, mikäli haavoittuvuus on täyttänyt tietyt kriteerit", kertoo Tauren.

Responsible disclosure -ohjelman periaatteiden mukaisesti Vismalle voi ilmoittaa haavoittuvuuksista toivottuja kanavia pitkin. Tauren kertoo, että he kannustavat valkohattuhakkereita tekemään haavoista ilmoituksia. Haavoittuvuuksia on välitetty Vismalle myös Kyberturvallisuuskeskuksen ja Open Bug Bountyn kautta. Haavoittuvuuksiin pystytään reagoimaan vuorokauden ympäri, koska yrityksen toiminnot pyörivät 24/7.

Löydetyt haavoittuvuudet Visma tarkistaa kahdessa päivässä ja kriittiset haavat pyritään korjaamaan viidessä päivässä. Haavoittuvuuksia koordinoidaan SOC-tiimin eli tietoturvavalvomon ja tuotteiden omistajien kautta. Pilvisovelluksissa tietoturvapäivitykset tapahtuvat automaattisesti, mutta asiakkaan paikalliset ratkaisut suositellaan aina päivittämään mahdollisimman nopeasti erillisellä ilmoituksella. Moderneimmat tuotteet saatetaan päivittää monta kertaa päivässä. Päivitysten sykli on nykyään entistäkin vauhdikkaampaa - ja trendi on edelleen nopeutuva.

Tietoturva osana prosessia

Visma tekee aktiivisesti yritysostoja, mikä tuo lisää haasteita myös tietoturvaprosesseille. Ostettava yritys tarkistetaan perusteellisesti niin sanotun due diligence -selvityksen myötä. Due diligence -prosessilla tarkoitetaan ostettavalle yritykselle etukäteen tehtävää huolellista tarkastusta. Tarkastukset ja testaukset tehdään myös tietoturvan osalta ja yritys ohjelmistoineen liitetään myöhemmin osaksi Visman normaalia kokonaisuutta. Tietoturvatestaus tässä prosessissa tarkoittaa esimerkiksi koodiskannauksia ja muita teknisiä toimenpiteitä. Yritysostoille on tyypillistä, että kaikki niihin sisältyvät ohjelmistot eivät välttämättä ole suunniteltu ja toteutettu turvallisen ohjelmistokehityksen mukaisesti. Uudet ohjelmistot käydään tarkasti läpi vastatakseen Visman toimintatapaa, jossa tietoturva kulkee mukana ohjelmiston kehityksessä alusta alkaen.

Visman myyntiprosesseissa on käytetty positiivisella tavalla hyödyksi yrityksen panostamista tietoturvaan. Yritys pyrkii olemaan läpinäkyvä epäonnistumisista ja kehityskohteista, ja näin ollen muodostamaan myös luottamusta kertomalla asioista avoimesti. Tauren kertoo, että tietoturvaongelmia tai tapahtumia ei kannata peitellä tai salailla. Mitä nopeammin ja ammattimaisemmin ne hoidetaan ja viestitään - sitä parempi on lopputulos. Mahdollinen hakkerointi voi tapahtua mille tahansa organisaatiolle, joten tilanteen hoitaminen erottaa yritykset toisistaan.