Tietoturva on yksi tietojärjestelmien kriittisimmistä osa-alueista, joka täytyy ottaa tarkasti huomioon tietojärjestelmiä suunniteltaessa ja toteutettaessa.
Web-pohjaisissa järjestelmissä tietoturvalla on entistäkin suurempi merkitys, sillä Webissä oleva hallintasivusto on paljastettu kirjaimellisesti miljoonille ilkeämielisille ympäri maailmaa.
Hyvä tietoturva ei ole pelkästään teknisiä ja fyysisiä ratkaisuja — myös järjestelmää käyttävien on oltava ajan tasalla. Tietoturvan heikoin lenkki on yleensä ihminen.
Kiinnitämme Syneuksella erityistä huomiota tietoturva-asioihin, ja pidämme myös asiakkaamme tietoisina mahdollisista riskeistä sekä siitä, miten riskeihin tulee varautua.
Yksi ensimmäisistä neuvoistamme on:
Varmuuskopioi, varmuuskopioi, varmuuskopioi!
Tietosuoja on osa tietoturvaa
Ihmisten liikkeistä ja tekemisistä Webissä jää jälkiä. Sähköinen asiointi, verkkokauppaostokset tai pelkästään sivustojen käyttäminen jättää jälkiä, joita voidaan koota ja kootaankin usein erilaisiin rekistereihin. Yksityisyyden ja oikeusturvan vuoksi on tärkeää käsitellä tietoja asianmukaisesti – ja laillisesti.
Aukot tietojärjestelmien tietoturvassa ovat myös aukkoja tietosuojassa. Mikäli sivustolla kerätään henkilötietoja, sivuston ylläpitäjän tulee tehdä kaikkensa taatakseen tietojen pysyvän tallessa, siinä käytössä, mihin tiedot on kerätty.
Syneuksen työkaluilla on hyvät näytöt turvallisuudesta
Syneuksella käyttämämme kehitysalusta Djangon näytöt (englanniksi tuttavallisesti track record) tietoturvassa ovat erinomaiset. Perinteiset, vähän väliä isojakin yrityksiä vaivaavat ongelmat kuten SQL-injektio sekä XSS- ja XSRF-haavoittuvuudet on Djangossa pyritty ennaltaehkäisemään turvallisuutta huomioivalla suunnittelulla. Django on ollut avoimen lähdekoodin projekti vuodesta 2005, eikä siitä ole toistaiseksi löydetty yhtään vakavaa haavoittuvuutta.
Isoimmatkaan eivät aina osaa
Vuonna 2008 tehdyn päivityksen jälkeen Sampo Pankin verkkopankista löydettiin useita XSS-haavoittuvuuksia. Verkkopankin haavoittuvuus mahdollisti hyökkääjäsivuston kaappaavan pankin osoitteen tarkoituksenaan kalastaa käyttäjien salasanoja.
Myös Verified by Visa-palvelusta on löydetty surullisia esimerkkejä siitä miten tietoturvasta muuten hyvin perillä olevat tahot voivat joskus unohtaa sen kokonaan Webissä.
Ongelmat löytyvät auditoinnissa
Auditointi on tehokas tapa löytää aukot tietojärjestelmien tietoturvassa. Suosittelemme auditoijaksi esimerkiksi Nixua, joka on toiminut tietoturva-alalla yli 20 vuotta.
