Joosep Põllumäe: küberturvalisus peab IT-tiimide fookuses olema veel ennegi, kui ükski koodirida kirja saab

Tehnoloogiamaailmas on küberturvalisus valdkond, millest ei pääse ükski töötaja. Täpselt nagu maja tuleb ehitada ilmastiku- ja tormikindlalt juba hetkest, mil laotakse vundamenti, peavad arendajad ja teised töötajad juba projekti esimestest hetkedest alates mõtlema turvateemadele. Seejuures nendib aga Elisa valdkonnajuht Joosep Põllumäe, et kui tihti mõeldakse tehniliselt turvalisusest läbi koodiprisma, siis tegelikult tehakse enamasti suurimad turvaapsakad veel enne seda, kui ridagi koodi on kirjutatud.

Arendajatest ja küberturvalisusest rääkides pole haruldane, et turvavigade kontekstist räägitakse ühest või teisest veast, mis on koodi sattunud. Kuigi need on vead mida esineb ja millele tuleb aktiivselt mõelda, siis kahvatuvad need mured projekti algushetkede valede otsuste ees. Sest reaalsuses mõjutab terve projekti turvalisust enim just see, millised raamistikud ja teised alustehnoloogiad töö jaoks valida. Kui see valik tehakse kiiresti ja ilma põhjaliku analüüsita, varitseb reaalne oht, et turvalisust ei suuda tagada ka kõige kogenum arendaja.

Seda seetõttu, et ka kõige ükskõiksem arendaja ei suuda enamasti oma töösse tekitada nii suure kriitilisusega vigu, kui suudab endasse mahutada kehv süsteem – raamistik, mis on on juba juurtasandil täis auke, mida on jooksvas töös pea võimatu lappida. Hullemal juhul täis auke, mille olemasolust isegi keegi ei tea ja mille eest end isegi parima tahtmise juures kaitsta ei osata.

See on aga viga, mida saab vältida.

Standarditel on põhjus

On põhjus, miks enamik kogenud arendustiime valivad lõpuks oma tööks üsnagi sarnased tehnoloogiad. Valides laialdaselt kasutatavaid ja usaldusväärseid tööriistu, mida ümbritseb kogukond, tagatakse, et turvaprobleemide lahendamine on kiire ja tõhus. Mida suurem on tehnoloogia taga olev kommuun, seda kiiremini probleeme avastatakse ja lahendatakse. Seevastu uue nišitehnoloogia puhul, mida kasutab 10 inimest, peab üks neist kümnest inimesest ka võimaliku vea leidma ja selle parandama.

Valides projektide jaoks õige alustehnoloogia on võimalik välja juurida meeletu hulk potentsiaalseid probleeme. Põhitöö on tehtud ja saab hakata keskenduma juba konkreetse lahenduse spetsiifilistele muredele. Siiski ei saa seejuures unustada, et kuigi õige raamistik võib aidata vältida peamist hulka suurimaid ohukohti, on turvateemad jätkuvalt olulised ka jooksvas töös.

Turvalisus nõuab pidevat jälgimist, meeskonnatööd ja juhilt pidevat trummi tagumist

Tänapäevased rakendused on tihti väga komplekssed ja koosnevad mitmesugustest kihtidest: front-end, back-end, andmebaasid, API-d, kolmandate osapoolte teenused. Igaüks neist kihtidest on kurjategijate jaoks potentsiaalne ründevektor, millele arendajad ka mõtlema peavad. Selle kõrval tuleb ka meeles pidada, et IT-sektor pole kunagi staatiline ja see peab paika ka turvateemade puhul.

Turul toimuvad pidevad muutused, igapäevaselt kerkivad esile uued rünnakuviisid ja tehnoloogiad saavad pidevalt uusi turvafunktsioone ja -parandusi. Arendajad peavad olema kursis viimaste turvatrendide ja -uuendustega, et tagada oma lahenduste turvalisus. Kui hästi valitud raamistikus saavad suuremad mured kiirelt paigatud, on siiski oluline, et töötajad teaksid – ja tööandjad võimaldaksid – nende uuendustega kursis püsida ja mõista, kuhu suunas maailm areneb ja mis on see, mille eest tasub end kaitsta.

Niisamuti tuleb teada, et arendusi ei muuda turvaliseks üksnes see, et koodi ei jäeta turvaauke või tööks ei valita turvavigadest kubisevat raamistikku. Täpselt sama oluline on mõelda sellele, kuidas on kaitstud arendaja enda tööriistad, nagu näiteks kontod ja arvutid. Kui nende kaitse on nõrk, muutuvad kasutajad ja süsteemid, millele arendaja ligipääsu omab, esimesteks sihtmärkideks. Igapäevane turvaharjumus, nagu näiteks tugevate paroolide kasutamine, kontode kaitsmine kahefaktorilise autentimisega ja turvauuenduste regulaarne paigaldamine, peaks olema arendaja igapäevane osa.

Turvalisus pole vaid arendaja vastutus

Kuigi arendajad peavad küberturvalisusele mõtlema igal hetkel, ei ole turvalisus lõpuks ainult arendaja vastutus. See on meeskonnatöö, kus igaüks peab oma osa andma, et tagada terviklik turvalisus. Arendajad, süsteemihaldurid, juhtkond ja turvaspetsialistid peavad tegema tihedat koostööd, et rakendada turvameetmeid kõigis süsteemi osades.

Igasugune arendusprotsess peaks olema juhitud teadlikkusega, et turvalisus on sama tähtis kui funktsionaalsus. Arendaja peab mõistma, et küberturvalisus ei ole ainult üks osa arendusfaasist, vaid läbiv ja igapäevast tähelepanu nõudev tegevus, mis tagab lõpuks lahenduse, mis vastab ootustele. Selle kõrval on juhtkonna tööks turvatrummi pidevalt taguda, lubamata kellelgi unustada, millega tähelepanu hajumisel riskitakse.