Huomasitko vasta käyttöönoton jälkeen, että ohjelmistosi turvallisuus ei olekaan sitä, mitä odotit? Ohjelmistohankinnassa turvallisuus ei ole pelkkä lisäominaisuus – se on kriittinen osa onnistunutta investointia. Hankintavaiheessa kysymättä jääneet asiat voivat kostautua myöhemmin odottamattomina tietoturvaongelmina ja kalliina korjaustoimenpiteinä.
Ohjelmiston tietoturvavaatimusten huolellinen määrittely ennen hankintaa on yksi keskeisimmistä turvallisuuden varmistamisen vaiheista. Riittävä tietoturvaosaaminen ja oikeat kysymykset jo neuvotteluvaiheessa varmistavat, että ohjelmiston tietoturvavaatimukset täyttyvät ja toimittaja on sitoutunut tietoturvan ylläpitoon koko ohjelmiston elinkaaren ajan.
Kymmenen keskeistä kysymystä, jotka jokaisen ostajan tulisi esittää ohjelmistotoimittajalle hankintavaiheessa
Millainen on toimittajan oma tietoturvan hallintamalli?
Hallintamalli kertoo, kuinka systemaattisesti ja kattavasti toimittaja huolehtii tietoturvasta omassa toiminnassaan. Toimittajan tulee osoittaa, että tietoturva on olennainen osa heidän johtamistaan ja operatiivista toimintaa. Tämä tarkoittaa muun muassa dokumentoitua tietoturvapolitiikkaa, riskiarviointiprosesseja tai sertifioituja hallintajärjestelmiä, kuten ISO 27001.
Millaiset turvallisen ohjelmistokehityksen käytännöt toimittajalla on?
Toimittajan tulee osoittaa, että tietoturva on sisäänrakennettuna kehitysprosessiin (Security by Design). Tämä tarkoittaa, että uhkamallinnusta tehdään jo suunnitteluvaiheessa ja kehityksessä noudatetaan turvallisen koodauksen periaatteita. Lisäksi automaattiset tietoturvatarkastukset ja koodianalyysit kuuluvat CI/CD-putkeen, ja haavoittuvuustestaukset ovat osa testausvaihetta.
Miten ohjelmiston tietoturvapäivityksiä ja elinkaarta hallitaan?
Ohjelmistoturvallisuuden hallinta ei pääty julkaisuun. Toimittajan tulee esittää selkeä elinkaarimalli, joka kattaa ohjelmiston tietoturvapäivitykset, tukiaikataulut ja versiopäivitykset. Tämä sisältää muun muassa sen, kuinka nopeasti kriittiset haavoittuvuudet korjataan, kuinka päivitysten turvallisuus varmistetaan ennen julkaisua ja kuinka kauan ohjelmistoa tuetaan. Toimittajan tulisi myös kertoa, miten asiakkaalle tiedotetaan uusista päivityksistä ja mahdollisista riskeistä.
Miten ohjelmiston turvallisuutta ja laatua testataan koko sen elinkaaren ajan?
Testaus ei pääty kehitysvaiheeseen, vaan ohjelmiston turvallisuutta ja toimivuutta tulee arvioida jatkuvasti. Toimittajan tulisi kuvata, miten ohjelmistoon tehdään säännöllisiä turvallisuustarkastuksia, dynaamista ja staattista analyysiä sekä haavoittuvuustestejä myös sen jälkeen, kun se on otettu käyttöön. Esimerkiksi on hyvä kuvata, miten testausta tehdään silloin, kun ohjelmistoon lisätään uusi ominaisuus. Lisäksi on tärkeää tietää, miten testausprosessit mukautuvat uusiin tietoturvauhkiin ja muuttuviin liiketoimintatarpeisiin.
Miten varmistetaan kolmasien osapuolten kirjastojen, komponenttien ja alihankintaketjun turvallisuus?
Toimittajan on osoitettava, että heillä on kattava hallintamalli kolmansien osapuolten ohjelmistokomponenttien sekä alihankkijoiden tietoturvan varmistamiseksi. Tämä sisältää komponenttien alkuperän arvioinnin, SBOM-dokumentoinnin, riippuvuuksien seurannan sekä sopimuksilla määritellyt tietoturvavelvoitteet alihankkijoille ja kumppaneille. Lisäksi heidän on kuvattava, miten haavoittuvuuksien hallinta kattaa koko toimitusketjun.
Miten haavoittuvuuksia hallitaan?
Toimittajan on esitettävä selkeä haavoittuvuuksien hallintaprosessi, joka kattaa tunnistamisen, arvioinnin, korjaamisen ja raportoinnin. Tämä voi sisältää esimerkiksi säännölliset haavoittuvuusskannaukset, haavoittuvuuksien ilmoituskäytännöt, CVE-seurannan ja ajantasaisen dokumentaation. Lisäksi toimittajan tulee kuvata, miten asiakkaita tiedotetaan ja miten korjaavat toimenpiteet toteutetaan.
Miten pääsy- ja käyttöoikeuksien hallinta on toteutettu?
Toimittajan on selvitettävä, miten ohjelmiston käyttöoikeuksien hallinta toteutetaan. Huomioitavia asioita ovat esimerkiksi monitasoiset käyttäjäroolit, vähimmän oikeuden periaate, vahva tunnistautuminen ja mahdollisuus integroitua olemassa oleviin identiteetinhallintajärjestelmiin.
Miten ohjelmiston lokitus ja monitorointi on toteutettu?
Ohjelmiston on tuettava lokitietojen keräämistä ja tarjottava ostajalle joustavat työkalut niiden hallintaan. Lokitietojen manipuloinnin estämiseksi ohjelmiston tulee hyödyntää vahvoja suojausmekanismeja, kuten digitaalista allekirjoitusta tai tarkistussummia. Lisäksi lokidatan minimointi ja salausmahdollisuudet ovat keskeisiä tietoturvavaatimuksia. Lokitiedot tulee tallentaa yleisesti tuettuun muotoon, jotta niiden analysointi ja integrointi muihin järjestelmiin, kuten keskitettyyn lokienhallintaan, on sujuvaa.
Miten ohjelmisto suojaa dataa?
Toimittajan tulee osoittaa, miten ohjelmisto suojaa sekä siirrettävää että tallennettua dataa. Tämä sisältää salausmenetelmät (esim. TLS 1.2/1.3, AES-256), tietojen eheyden varmistamisen, pääsynvalvontamekanismit sekä varmuuskopiointikäytännöt. Lisäksi toimittajan tulee kertoa, mitä tietoja ohjelmisto kerää sekä miten henkilötietoja käsitellään ja suojataan GDPR:n ja muiden sääntelyvaatimusten mukaisesti.
Täyttääkö ohjelmisto sääntelyvaatimukset?
Tarvittaessa toimittajaa voi pyytää osoittamaan, täyttääkö ohjelmisto tietoturvaan liittyvät sääntelyvaatimukset, kuten GDPR, NIS2, ISO 27001, CRA tai muu alakohtainen sääntely. Toimittajan tulisi esittää tarvittavat sertifikaatit, standardienmukaisuustestien tulokset ja dokumentaatio vaatimusten täyttämisestä.
Ohjelmiston tietoturvan varmistaminen ei pääty sopimuksen solmimiseen. Varmista viimeistään nyt, että olet sopinut toimittajan kanssa vastuista ja käytännön toimenpiteistä, joilla varmistetaan ohjelmiston turvallisuus koko sen elinkaaren ajan.