Tietoturva SaaS-palvelukehityksessä – miten huolehdimme tietoturvan eri osa-alueista

Tietoturva ja tietosuoja ovat olleet meille funidatalaisille tärkeitä asioita jo Sisu-kehityksen alkumetreiltä. Olemme panostaneet vahvasti tietoturvaan esimerkiksi DevOps-mallien ohella jo vuodesta 2013, jolloin konseptoimme Sisun arkkitehtuuria. Tietoturvan merkitys ei ole suinkaan vähentynyt kehityksen edessä, vaan pikemminkin noussut kaiken kehitystyömme tärkeimmäksi peruspilariksi.

Funidata on laajentunut puhtaasti Sisua tuottavasta yhtiöstä uusien palveluiden äärelle, ja olemme tuoneet Sisusta tutut tietoturvan mallit myös niihin. Kun tuoteperheeseemme tulee uusia tuotteita, käymme läpi niiden tietoturvan perusteellisesti, jonka jälkeen suunnittelemme ja toteutamme riittävät muutokset. Näin takaamme uusille tuotteille saman korkean palvelutason, johon Sisussa on totuttu. Samat periaatteet pätevät myös tekemiimme datamigraatioprojekteihin, joissa kiinnitämme erityistä huomioita henkilötietojen suojaukseen.

Myös tietosuoja on kriittinen osatekijä palvelutuotannossamme. Teemme tiivistä yhteistyötä asiakaskorkeakoulujemme tietosuojasta vastaavien tahojen kanssa, jotta voimme varmistua siitä, että toimintatapamme ja palvelumme vastaavat heidän odotuksiaan ja vaatimuksiaan.

Tietoturvan osa-alueet CIA-mallin mukaisesti  

Tietoturva voidaan jakaa karkeasti kolmeen eri laatikkoon niin sanotun CIA-mallin mukaisesti:

• Luottamuksellisuus (confidentiality)
• Eheys (integrity)
• Saatavuus (availability)

Korkeaan laatuun tähtäävä ohjelmistokehitysprosessimme on jokaisen osa-alueen taustalla. Se toimii kivijalkana, jonka päälle rakennamme muita suojaustekijöitä. Huolehdimme luottamuksellisuudesta ja eheydestä muun muassa hyödyntämällä kumppaneita työmme jäljen tarkastamiseen ja suorittamalla penetraatiotestauksia järjestelmillemme. Pidämme myös yllä lokeja ylläpitotoiminnasta ja siitä, mitä järjestelmillämme tehdään.

Luottamuksellisuuden takaamme rajoittamalla merkittävästi pääsyä tuotantojärjestelmien tietovarantoihin ja sillä, ettemme milloinkaan käytä asiakkaidemme tietosisältöjä kehitysprosesseissamme. Fyysisesti tiedot ovat turvattuna AWS:n Tukholmassa sijaitsevissa datakeskuksissa.  

Saatavuuden osalta panostamme paljon siihen, että järjestelmämme kestävät erilaisia häiriötilanteita. Näin korkeakouluille kriittisten tietojärjestelmien tieto on saatavilla, kun sitä tarvitaan. Haluamme myös tarjota loppukäyttäjillemme korkean palvelutason, joten minimoimme järjestelmiin tarvittavat käyttökatkot ja toteutamme huoltotyöt taustalla katkoitta.

Tietoturvaan vaikuttavat tekniset ratkaisut ja jokaisen oma toiminta

Tekniset ratkaisut ovat olennaisia kokonaisvaltaiselle tietoturvan hallinnalle. Käytämme useita erilaisia palveluja, kuten automaattisia koodin laatua tarkkailevia työkaluja, automaattisia tietoturvaskannauksia ja AWS:n tietoturvapalveluita. Tällä hetkellä hyödynnämme esimerkiksi SonarQubea, PMD:tä ja SpotBugsia staattiseen analyysiin. Muina työkaluina käytämme muun muassa automaattista ECR-konttiskanneria, Githubin Dependabotia ja AWS:n osalta esimerkiksi Shieldiä ja Web Application Firewallia.

Yhtä lailla suojaamme Funidatan omaa toimintaa ja laitteistojamme. Olemme omassa IT-infrastruktuurissamme ottaneet käyttöön entistä enemmän automaattista compliance-validointia ja laitehallintaa. Toimintamme pyörii Microsoft 365 -ratkaisujen varassa, joihin olemme tuoneet myös lisää turvapalveluita. Lisäksi olemme juurruttaneet tietoturvan osaksi Funidatan kulttuuria: jokainen meistä ymmärtää toimintansa potentiaaliset vaikutukset ja huomioi ne, vaikka ei itse koodiin koskisikaan.

Tie palveluiden turvallisuuden saralla ei ole koskaan lopussa, vaan teemme töitä joka päivä ylläpitääksemme saavutetun tason ja parantaaksemme käytäntöjämme. Otamme käyttöön uusia työkaluja parantamaan tietoturvaa ja koodin laatua, ja pidämme aihetta esillä esimerkiksi koodikatselmoinneissamme. Kuten muussakin toiminnassamme, jatkuva parantaminen on tietoturvankin suhteen tekemisemme ytimessä.

‍