Kun ohjelmistotalo Vincitin verkkoratkaisuja oltiin uudistamassa perusteellisesti, tuli uudistuksen yhteydessä esiin tarve käydä yrityksen tietoturvan tilanne kokonaisvaltaisesti läpi. Kahdella eri mantereella toimivan Vincitin infrastruktuuri nojaa vahvasti pilvipalveluihin ja tieto liikkuu monitoimittajaympäristössä, jolloin tietoturva on keskeisessä osassa toiminnan kannalta.
"Meille on tärkeää, että tietoturva toimii ja että sen tasoa pystytään jatkuvasti arvioimaan. Näin kokonaisvaltaista kartoitusta ei ollut aiemmin tehty", Vincitin Senior Software Engineer Aleksi Häkli kertoo.
Yhteistyö Loihteen kanssa aloitettiin Vincitin verkkoratkaisujen uudistamisesta, ja myöhemmin yhteistyötä laajennettiin tietoturvapalveluihin. Vincit kävi aluksi useampia toimittajavaihtoehtoja läpi, kunnes valinta kohdistui Loihteeseen.
"Saimme vinkin Loihteen kanssa yhteistyötä tehneeltä kollegalta, että Loihde voisi olla meille soveltuva kumppani. Oli mukava huomata, että saatavilla oli kotimainen osaajavaihtoehto, jolta saimme kaikki palvelut, joita tällä sektorilla kaipasimme. Muutoinkin kaikki, mitä kuulimme Loihteesta, oli positiivista, kuten työnantajakuva, toimintatavat ja historia, ja päätimme kokeilla yhteistyötä. Siitä tuli hyvä valinta", Häkli kertoo tyytyväisenä.
Tietoturva-aukkoja etsittiin kyberrikollisten keinoin
Vincitin tietoturva käytiin läpi hallinnollisella ja teknisellä tasolla. Palvelukokonaisuuteen sisältyi tietoturva-arviointi, haavoittuvuuksien tunnistuspalvelu sekä penetraatiotestaus.
Tietoturva-arvioinnissa Vincitin tietoturvan nykytila arvioitiin suhteessa tavoitetilaan käymällä läpi sekä tekninen että hallinnollinen tietoturva. Kokonaisuus analysoitiin ja raportoitiin, ja ehdotetut kehitystoimenpiteet priorisoitiin kriittisyyden mukaan. Tämän jälkeen edettiin vielä teknisempään suuntaan tutkimaan tarkemmin verkkoja ja kohdejärjestelmiä käyttäen apuna haavoittuvuuksien tunnistuspalvelua sekä penetraatiotestausta.
Haavoittuvuuksien tunnistuspalvelulla tunnistettiin haavoittuvuuksia sisä- ja ulkoverkoista sekä järjestelmistä. Asiakkaalle raportoitiin teknisten havaintojen lisäksi haavoittuvuuskohtaiset korjausehdotukset, Loihteen tietoturva-asiantuntijoiden analyysit ja riskiarviot sekä trendit ja yhteenveto.
Penetraatiotestauksessa puolestaan pyrittiin havaitsemaan tietoturvapuutteita ja -haavoittuvuuksia useita eri metodeja käyttäen. Haavoittuvuuksien tunnistuspalveluun verrattuna testaus on kohdistetumpaa, ja se voi kattaa yksittäisen järjestelmän tai vaikkapa useita aliverkkoja. Testauksen toteuttavat Loihteen eettiset hakkerit, jotka testaavat kohdejärjestelmien tietoturvaa hallitusti kyberrikollisten keinoin. Penetraatiotestaus tehtiin tarkoituksella erillään muista black box -menetelmällä eli niin, että Loihteen testaajat toimivat ilman ennakkotietoa järjestelmistä.
Havainnot ja korjausehdotukset raportoitiin ja käytiin läpi Vincitin kanssa. Penetraatiotestaukseen kuuluu myös havaintojen uudelleentarkistus korjauksien jälkeen, millä voidaan varmistaa, että alkuperäiset korjaukset toimivat ja ovat riittävät.
Etua liiketoiminnalle
"Pystymme osoittamaan kumppaneille ja asiakkaille, että meillä on arvioitu näitä asioita kriittisesti ja pyrimme jatkuvasti parantamaan tekemisemme tasoa entisestään", Häkli sanoo.
"Modernissa tietotyössähän tekemisen taso ja ratkaisut kehittyvät jatkuvasti. Siksi pitäisi säännöllisin väliajoin käydä läpi, millä tavalla asioita tehdään, ja tarkastella tapojen ja ratkaisujen kehitystä, jotta pysytään ajan hermolla", Häkli pohtii.
"Meillä on ollut myös Loihteen tuki- ja valvontajärjestelmiä. Nekin ovat toimineet oikein mainiosti ja teknisten ratkaisujen taso on kehuttava", hän lisää.
”Oli mukava huomata, että saatavilla oli kotimainen osaajavaihtoehto, jolta saimme kaikki palvelut, joita tällä sektorilla kaipasimme.”
Tilaajaystävällinen ratkaisu
Yhteistyöstä Vincitillä on paljon hyvää sanottavaa.
"Yhteistyö sujui todella mukavasti ja jouhevasti. Saimme henkilökohtaista palvelua ja tiivistä yhteistyötä. Yhteydenpito ja asioiden järjestely kaikkien kanssa oli helppoa ja toimi suoralla yhteistyöllä. Tämä oli tilaajamielessä hyvin helppo ja ystävällinen ratkaisu", Häkli kehuu.
"Saimme suoritettua kokonaisuudistuksen ja -arvioinnin meille miellyttävällä aikataululla ja kustannustasolla, ja työn jälki oli erinomaista", Häkli päättää.