GDPR kirjeiden salaisuus ja tietoturvatestauksen kaksi kulmaa
Muistatko, miten Harry Potterilla alkoi ensimmäinen lukuvuosi Tylypahkan noitien ja velhojen koulussa? Jäbä sai ensin yhden kirjeen Likusteritielle, mutta ilkeä Vernon-setä hävitti sen. Tylypahkan markkinointiautomaatio ei kuitenkaan antanut periksi ja pian kirjeitä satoi ovista ja ikkunoista. Pöllö pöllön perään puski pojalle postia.
Tunsin perjantaina oloni Harryksi. GDPR -kirjeiden määrä on kyllä ylittänyt odotukseni. Kaikki toimittajasta tilaajaan tykittävät kirjeitään kavereille. Säntäilemme virittämässä omia papereitamme tilanteessa, missä sama lainsäädäntö sitoo jo valmiiksi meitä kaikkia. Erikoista sanon minä.
No. Jos joku myöhemmin tulisikin tutkimaan, että onko tietosuoja-asetuksen eteen tehty jotain, niin pino papereita tietysti auttaa auditoinnissa. Mutta miten on niiden softatuotteiden ja itse infran laita?
Olen huomannut, että tietoturvan rakentamiseksi softatuotteisiin, olipa kyseessä sitten verkkopalvelu tai mobiilisovellus, on huolehdittava kaksi asiaa.
Ensimmäiseksi ehdotan todistusaineiston rakentamista siitä, mitkä asiat on testattu ja miten. Hyvä ajatustyön peruskivi voisi olla esimerkiksi OWASP top lista haavoittuvuuksista. Käymällä tiimin kanssa lista läpi ja dokumentoimalla työ, saadaan hyvät valmiudet kestää myös ulkopuolinen tarkastelu.
Toiseksi, mikäli budjettia vielä on ja riskit ovat keskimääräistä korkeammat, ehdottaisin vielä piiloonjääneiden bugien etsimistä ja pyydystämistä. Kantavana ajatuksena voisi kuljettaa esimerkiksi kysymystä, mitä hyvä hakkeri tekisi tuotteellemme viikossa?
Parhaat lopputulokset tottelevat yleensä painetta spektrin molemmista päistä. Tarkastamalla ja dokumentoimalla, että perusasiat ovat yhä kunnossa ja toimivat. Sekä saalistamalla systemaattisesti uusia paikkoja mistä bugi saattaa vielä pilata pelin.
Testaus on kahden työlajin summa. Tarkistamisen ja saalistamisen.