Suomalaiset ohjelmistoyritykset kantavat pääosin vastuunsa tietoturvasta

01.03.2018

Turun yliopiston tutkijoiden toteuttama kyselytutkimus osoittaa, että suomalaiset ohjelmistoyritykset ottavat tietoturvan huomioon varsin hyvin. Tietoturvan laiminlyömisen taustalla ovat useimmiten aikataulu- ja kustannushaasteet sekä osaamisen puute.

​Turun yliopiston tiedote 1.3.2018

Tietoturvan periaatteiden ymmärtämistä voidaan pitää jo kansalaistaitona, mutta miten hyvin tietoturva on huomioitu yrityksissä, jotka tekevät ohjelmistoja, joita me arjessa käytämme? Turun yliopiston tutkijat päättivät selvittää asiaa toteuttamalla ohjelmistoyrityksille suunnatun internet-kyselyn.

– Lähetimme kyselyn joulukuussa Ohjelmistoyrittäjät ry:n jäsenyrityksille sekä yli tuhannelle suomalaisissa ohjelmistoalan yrityksissä työskentelevälle ohjelmisto- ja tietoturva-alan asiantuntijalle ja johtajalle. Kyselyssä selvitimme tietoturvatyössä käytettäviä tekniikoita sekä niiden yhteyttä ohjelmistokehityksessä yleisesti käytettyihin ja hyväksi havaittuihin ketteriin menetelmiin, kertoo kyselyn toteuttamisesta vastannut tohtorikoulutettava Kalle Rindell Turun yliopiston tulevaisuuden teknologioiden laitokselta.

Rindellin mukaan tulokset antavat suomalaisen tietoturvatyön tilasta varsin positiivisen kuvan. Vastaajista lähes jokainen kertoi olleensa mukana ainakin yhteen tietoturvastandardiin perustuvassa projektissa. Noin neljännes vastaajista kertoi käyttävänsä tietoturvatyössä toimintaa ohjaavaa kehysmallia, kuten Microsoft SDL:ää tai julkishallinnon edellyttämää VAHTI-tietoturvaohjeistusta. Lisäksi avointa OWASP-tietoturvamallia (Open Web Application Security Project) noudatti noin viisi prosenttia vastaajista.

– Muutkaan vastaajat eivät ole suinkaan jääneet täysin toimettomiksi ohjelmistokehityksen tietoturvan saralla, vaan heidänkin kehityshankkeissaan tietoturvaan liittyviä toimenpiteitä suoritettiin ahkerasti. Tietoturvatekniikat koettiin tehokkaiksi ja niiden vaikutus ohjelmistoihin positiiviseksi. Lähetimme kyselyn lähes 350 kotimaiselle ohjelmistoalan yritykselle, Rindell sanoo.

Tietoturvan ja ohjelmistokehityksen yhteensovittamisessa on hankaluuksia

Kyselytutkimus osoittaa myös, että yritykset ovat ottaneet vastuuta tuotteittensa tietoturvan kehittämisestä. Suurimmassa osassa yrityksiä noudatettiin joko omia tai asiakkaan sanelemia epävirallisia tietoturvaohjeita. Yleisesti ottaen tietoturvan toteutuksessa edetään julkishallinnon määräämässä tahdissa.

Julkishallinnon digitaalisen turvallisuuden johtoryhmän ja tietoturvallisuuden auditointityökalun (Katakri) ohjeita noudatti joka neljäs vastaajista, ja noin 31 prosenttia käytti tietoturvatyössään joko avoimia tai ISO/IEC-standardeja. Avoimista standardeista suosituimmaksi osoittautui tälläkin saralla OWASP.

– Varsinaisia kehitysprosesseja ei kuitenkaan ohjata yhtä suunnitellusti, sillä 60 prosenttia vastaajista kertoi, ettei käytä työssään mitään tietoturvaprosesseja ohjaavaa viitekehystä. Digitaalisen turvallisuuden johtoryhmän VAHTI-ohjeet olivat tuotekehitystyössä käytössä vajaalla viidenneksellä, Microsoftin SDL-mallia käytti joka kymmenes ja avoimia prosessimalleja hieman tätä useampi. Tämä kertoo osittain mallien kankeudesta ja sopimattomuudesta nopeatempoiseen ja ketterään ohjelmistokehitystyöhön. Toisaalta tulokset kertovat myös tietoturvan ja ohjelmistokehityksen yhteensovittamisen yleisestä hankaluudesta, Rindell toteaa.

Tietoturvaloukkaus on kolhu yrityksen imagolle

Kyselyn tulokset herättävät Rindellin mukaan kuitenkin myös huolta. Vaikka vastaajien voidaan katsoa edustavan tietoturvaosaamisessa kotimaisen ohjelmistoalan kärkeä, valtaosalle vastaamatta jättäneistä tietoturva on edelleen ”jonkun muun ongelma”.

– Syitä tähän ovat muun muassa aikataulu- ja kustannushaasteet, osaamisen puute ja silkka tietämättömyys. Yhä harvemmalla yrityksellä on kuitenkaan enää varaa jättää tietoturva-asiansa huomiotta: uudet määräykset, erityisesti toukokuussa lopullisesti voimaan astuva yleinen tietosuoja-asetus, tuovat yrityksille ja yhteisöille rutkasti uusia velvoitteita. Ensimmäistä kertaa yksityisyyden suojan loukkaamiselle on asetettu myös ankarat rangaistusmaksut. Sanktioiden uhan lisäksi yritysten on huomioitava myös tietoturvaloukkausten aiheuttamat imagolliset seuraukset: luotettavat ja turvalliset ohjelmistot ovat liiketoiminnan perusedellytys. Ohjelmistoalalla tietoturvaosaaminen on ylivoimainen kilpailuetu, Rindell sanoo.

Kysely suoritettiin Turun yliopiston ohjelmistotekniikan laboratorion tutkimushankkeena yhteistyössä Ohjelmistoyrittäjät ry:n kanssa. Tarkemmat tulokset raportoidaan tieteellisessä aikakausilehdessä vuoden 2018 aikana.

Kuvat

Mediat voivat hyödyntää kuvia vapaasti aiheeseen liittyvässä uutisoinnissa.

Tietoturvatyötä ohjaavat mallit: https://apps.utu.fi/media/kuvat/tietoturva/tietoturva1.png

Ohjelmistojen tietoturvan tasoa määrittävät standardit: https://apps.utu.fi/media/kuvat/tietoturva/tietoturva2.png

Lisätietoja

Kalle Rindell, p. 040-158 3643, kalle.rindell@utu.fi

Luotu 01.03.2018 | Muokattu 01.03.2018