Tarkvara turvalisuse ning andmete taastatavuse peale mõeldakse tavaliselt siis, kui on juhtunud intsident. Kui veel aastaid tagasi oli suhteliselt lihtne mõista, kes vastutab varukoopiate ning serverite turvalisuse eest – administraator, kelle tagatoas serverid füüsiliselt asusid – siis tänaseks on enamik andmetest ja rakendustest liikunud pilve ning konkreetse vastutaja määramine on olulisem kui kunagi varem, ütles Uptime’i tehnoloogiajuht Raimo Seero.
Kuna eeldamine võib kiirelt viia katastroofiliste tagajärgedeni, tuleb andmeturvalisusele ja taastatavusele läheneda süstemaatiliselt, läbimõeldult ja objektiivselt. Selleks, et olla seejuures edukas, tuleks arenduse käigus mõelda kolmele peamisele punktile.
Mis andmeid su äris kasutatakse?
Enne kui saab hakata õigeid protseduure looma, on tarvis mõista, milline üldse mängulaud on. Turvalisuse tagamiseks on oluline omada selget ülevaadet, millistest süsteemidest su äri sõltub ning milliseid andmeid seejuures toodetakse ning kuidas neid hoiustatakse.
Suuremate infosüsteemide puhul, eriti oludes, kus midagi on arendatud viimased 30 aastat ning keegi täpselt ei mõista, kuidas midagi toimub, on see esmane kaardistus kriitilise tähtsusega. Näiteks pole haruldased juhud, kus mõne süsteemi toimimise jaoks kriitilise teenusega on liitutud erakonto kaudu ning kunagi liitumise teinud inimene on tänaseks ettevõttest lahkunud – kui peaks olema midagi tarvis muuta, näiteks uuendada makseinfot, võib ärikriitilisele teenusele olla pea võimatu ligi pääseda. Mida varem need murekohad avastada, seda parem.
Seetõttu on oluline mõista ka…
Kui olulised on erinevad süsteemid jätkutulikkuse seisukohast?
Süsteeme on erinevaid, mõned neist olulisemad, mõned vähemolulisemad. Küll aga on oluline mõista, kuhu igaüks neist spektris paigutub. Kui ressursid on piiratud, on mõistlik panustada kõige ärikriitilisemate süsteemide kindlustamisele ning tagada, et need alati vastu peaks. Mõistagi saaks ideaalses maailmas pöörata võrdselt tähelepanu kõigele, kuid reaalsus on tihti teistsugune.
Ärikriitilisuse kõrval on oluline omada ülevaadet ka sellest, milliste andmetega mõne rakenduse puhul kokku puututakse. GDPR ning teised regulatsioonid seavad erinevatele andmetele erinevad käitluspiirangud, mistõttu tuleb ka seda prioriteetide seadmisel arvesse võtta. Kui ühest rakendusest võivad jalutama minna puittalade mõõdud, teisest aga klientide meiliaadressid, siis vaid ühe rakenduse tugevdamiseks ressursside omamisel on mõistlik panustada viimasele.
Kuna andmed on tihti tundlikud ning vastutuskoormad suured, tuleks maksimaalse turvalisuse tagamiseks mõista ka…
Kes selle kõige eest vastutab ja miks sõlmida andmetöötlusleping?
Igal rakendusel ning igal protsessil peaks olema omanik, kes tagab oma lõigu igapäevase toimimise ning kes tunneb vastutust, et temale määratud süsteemidega oleks kõik korras – need oleks turvalised, taastatavad ja turvateemadele on pühendatud piisavas koguses ressursse. Seejuures on oluline, et vastutav isik ka päriselt mõistaks, mis sorti andmete või ärikriitiliste komponentide eest on ta hoolt kandma pandud.
Ei ole haruldased juhud, kus süsteemi eest vastutaja, näiteks projektijuht või IT-juht, ei tea päriselt, mis andmed süsteemides pesitsevad. See toob kaasa olukorra, kus turvateemade lahendamiseks ei eraldata piisavas koguses ressursse ning tekib oht delikaatsete andmete lekkimiseks. Seetõttu on kriitiline, et kõik süsteemide ja andmetega inimesed ka päriselt mõistaks, millega nad tegelevad.
Keerulised olukorrad võivad tekkida ka arenduspartneritega, kui tellija automaatselt eeldab, et kõikide turvateemade eest kannavad hoolt tarkvaraarendajad. See võib küll nii olla, kuid see eeldab sel juhul seda, et turvateemade jaoks on eraldatud piisavalt aega ning finantse, et tulemused saaks päriselt olla sellised nagu kõik osapooled eeldavad.
Heaks praktikaks on selgesõnaliste lepingute sõlmimine ning kirjalike kokkulepete kasuks otsustamine – vastutusalad ja ootused tuleks selgelt ning üheselt mõistetavalt paika panna, et vältida valede ootuste poolt kaasa toodud luksatusi.
Tarkvaraarendajad hoolivad
Kuigi turvateemadele laiapõhjaliselt lähenemine eeldab selget ressursside eraldamist, saab iga arendaja ning iga projektitiim anda oma panuse turvalisusse ka käepärasemate vahenditega. Uptime’is kasutame alaliselt näiteks erinevaid koodiskännereid, ründetuvastussüsteeme, tegevuste logimist ning veel mitmeid teisi tööriistu. Need vahendid ei aita küll turvariske nulli viia, kuid aitavad kinni püüda kõige suuremad ohud.
Kui sinu projektide juures need vahendid veel kasutusel pole, siis tasuks seda muuta. Niisamuti tasuks seda nõuda oma arenduspartneritelt, sest tõelise turvalisuse saab saavutada vaid kõikide ühise pingutuse toel.