Miten ohjelmistokehityksen turvallisuutta voidaan kehittää? Tuore selvitys kartoitti ohjelmistokehityksen nykytilaa ja kehittämistarpeita
Tietoturva Nyt!
Mikä on ohjelmistokehityksen turvallisuuden taso Suomessa tänään? Miten turvallista ohjelmistokehitystä ja ohjelmiston hankintaa voidaan kehittää kansallisella tasolla? Muun muassa näitä kysymyksiä tarkastellaan Traficomin ja Huoltovarmuuskeskuksen tuoreessa selvityksessä.
Ohjelmistoturvallisuuden tila 2023 -selvityksen mukaan Suomessa ollaan tietoisia ohjelmistoturvallisuuden merkityksestä. Ohjelmistoala on jatkuvassa ja nopeassa muutoksessa. Turvallisuuden taso ohjelmistotyössä on noussut, mutta ei samaa vauhtia kuin teknologia- ja toimintatapamuutokset.
Traficomin Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen avaa selvityksen taustoja.
"Havaintojemme mukaan ohjelmistojen heikko laatu on yksi suurimmista tietoturvaongelmista. Erilaisia ohjeita ja käytäntöjä ohjelmistoturvallisuuden parantamiseksi on tarjolla runsaasti, mutta niiden joukosta on vaikeaa löytää omalle organisaatiolle sopivin ratkaisu. Lisäksi nopeasti muuttuva toimintaympäristö, EU:sta tuleva sääntely ja teknologinen kehitys haastavat organisaatioita sopivien tietoturvaratkaisujen valinnassa."
Selvityksessä havaittiin, ettei ohjelmistoja tuottavilla, hankkivilla ja hyödyntävillä organisaatioilla ei ole yhteistä, jaettua näkemystä siitä, kenelle vastuu tietoturvallisuudesta ohjelmistotyössä kuuluu. Turvallisuuden tarve ymmärretään yleisellä tasolla, mutta toteutustasolla vastuut ja turvallisuuden vaatimukset eivät konkretisoidu tekemiseen. Osalla organisaatioista osaaminen ja toteutuskyky on korkealla tasolla, mutta toisilla on huomattavia haasteita jo perustason turvallisuuden toteuttamisessa.
Tarvitaan tietoisuutta ongelmasta ja menetelmiä käytännön ratkaisuiksi
Ratkaisuksi raportti esittää, että ymmärrystä turvallisen ohjelmistokehityksen vaatimuksista ja tavoitteista tulee lisätä laaja-alaisesti organisaatioissa. Tietoturvallisuus on keskeinen osa organisaatioiden riskienhallintaa. Tämän vuoksi tietoisuutta ohjelmistokehityksen turvallisuusvaatimuksista tulee tarjoa aina liikkeenjohdosta ohjelmistokehittäjiin. Organisaatioiden tulee panostaa uusien ja hyvien käytäntöjen jakamiseen sekä eri tehtävissä työskentelevien asiantuntijoiden osaamisen ylläpitämiseen ja kehittämiseen.
Selvityksestä eväitä jatkokehitykselle
Huoltovarmuuskeskus ja Liikenne- ja viestintävirasto Traficom käynnistivät 2023 Huoltovarmuuskeskuksen rahoittamana selvityksen turvallisen ohjelmistokehityksen nykytilasta Suomessa. Selvityksen tavoitteena oli myös tunnistaa toimenpiteitä, miten turvallista ohjelmistokehitystä ja ohjelmiston hankintaa voidaan kehittää kansallisella tasolla.
”Digipoolin kyberturvallisuuden nykytila -kartoituksessa turvallinen ohjelmistokehitys on noussut useiden toimialojen keskeisimmäksi kehityskohteeksi. Traficomin laatima selvitys antaa hyvän kokonaiskuvan jatkotyölle, jonka tavoitteena on parantaa ohjelmistoturvallisuutta kansallisella tasolla", toteaa Digitaalinen turvallisuus -ohjelman johtaja Juha Ilkka Huoltovarmuuskeskuksesta.
Turvallisen ohjelmistokehityksen selvityksen pohjalta on muodostettu toimenpidesuunnitelma, jossa esitetyt ratkaisut perustuvat selvitystyöhön. Suunnitelma toimii pohjana jatkokehitykselle, joka toteutetaan osana Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa.
Lisätietoja
Johtava asiantuntija Juhani Eronen, Traficomin Kyberturvallisuuskeskus, p. 0295 390 546, juhani.eronen (at) traficom.fi
Ohjelmajohtaja Juha Ilkka, Huoltovarmuuskeskus, p. 0295 051 006, juha.ilkka (at) nesa.fi