Tietojärjestelmiä hankitaan karkeasti yleistäen kahdella tavalla; joko etukäteen määriteltynä kokonaisuutena tai pienemmissä osissa tehtävänä työnä. Ensimmäinen vaihtoehto on enemmän käytössä esimerkiksi julkishallinnossa, jossa hankinnan kokonaiskustannukset täytyy tietää hankinnasta päätettäessä. Jälkimmäistä tapaa taas käytetään usein yritysten tuotekehityksessä, jossa tuotekehitystä tehdään niin monta iteraatiota, että riittävä toiminnallisuuden ja luotettavuuden taso on saavutettu.

Molemmissa tavoissa ovat omat ongelmansa tietoturvan näkökulmasta. Ongelmana ensimmäisessä, järjestelmän kertahankintana toteuttavassa, lähestymistavassa on, että vaatimusten määrittelijöiden täytyy tuntea kaikki tietojärjestelmän toimintojen erikoisalueet, mukaan lukien tietoturva. Kuitenkin hyvin harvasta organisaatiosta löytyy edes nimettyä tietoturvavastaavaa. Kun tietoturvavaatimukset puuttuvat määrittelystä, on niiden toteuttaminen kiinni toimittajasta. Jos vaatimukset on taas asianmukaisesti määritelty, voidaan toiminnallisuus varmistaa hyväksymistestauksessa.

Jälkimmäisen hankintatavan, eli niin iteratiivisen kehitysprosessin, ongelmana taas on tietoturvavaatimusten huomioon ottaminen heti alusta alkaen. Kun pyritään saamaan mahdollisimman nopeasti valmista näytettävää, saattavat tietoturvaominaisuudet jäädä muun toiminnallisuuden jalkoihin. Jälkeenpäin ominaisuuksien lisääminen saattaa olla vaikeaa ja kallista. Toisaalta iteratiivisuus antaa myös mahdollisuuksia tarkentaa tietoturvaan liittyviä vaatimuksia koko kehitysprosessin ajan.

Toinen tyypillinen ongelma on tietojärjestelmien suunnittelijoiden ja kehittäjien osaaminen. Jos kehittäjä ei tunne mekanismeja, joilla tietojärjestelmiä murretaan, ei hän pysty niiltä suojautumaan ilman aiemmin mainittuja vaatimuksia. Kun keskimääräisellä kehittäjällä on taustaa tietoturva-asioista enintään yhden kurssin verran opiskeluajoilta, on vastuu tässä tapauksessa vaatimusten määrittelijällä. Onneksi hyvällä ohjelmistoarkkitehtuurilla voidaan myös vaikuttaa toteutuksen tietoturvaan. Tämä taas vaatii tietoturva-alueen asiantuntemusta suunnittelijoilta, joten määrittelyn tärkeyttä on vaikea olla korostamatta.

Kolmas ongelma on ollut esillä viime aikaisissa tietomurroissa. Kaikki viimeisimmät kotimaassa julkisuuteen tulleet tietomurrot ovat käyttäneet hyväksi haavoittuvuuksia, joihin on ollut olemassa korjaus, parhaimmillaan jopa vuosia. Tietojärjestelmä vaatii elinkaarensa aikana valvontaa ja ylläpitoa ja mitä enemmän komponentteja siihen kuuluu, sitä enemmän ylläpitoa se vaatii. Päivitysten asentaminen on tärkeä osa tietojärjestelmän tietoturvasta huolehtimista, vaikka se voi kaiken kiireen keskellä tuntua välillä tarpeettomalta. Sen vuoksi ylläpidon helppouteen tulisikin kiinnittää huomiota tietojärjestelmää hankittaessa ja suunniteltaessa.

Edellä on vain muutama näkökulma tietoturvaan ohjelmistojen hankinnassa ja kehityksessä. Tietoturvan tulisi olla yhtenä näkökulmana mukana koko tietojärjestelmän elinkaaren ajan aina ensimmäisestä liiketoimintavaatimuksesta käytöstä poistamiseen asti. Sen vuoksi myös Relator tekee töitä näiden asioiden eteen. Yhtenä osoituksena tästä on osallistumisemme JYVSECTEC-hankkeeseen. Hankkeesta voit lukea lisää täältä.

-Riku

Kirjoittaja toimii Relator Oy:ssä konsulttina.

Tulilinjalla ovat sekä ostajat että toimittajat. Kyse on siis jostain ihan muusta kuin pelkästään VR:n tilanteesta. Kyseenalaistipa Tarkastusvirasto Turun Sanomissa jopa lähes koko toimialan ammattitaidon – tai ainakin isot IT-talot.

Relatorin sisällä käytyä keskustelua on seurattu innokkaasti. Tuntuu siltä, että valittu linjamme eli hankintakonsultointi ja laadun varmistaminen ICT-hankinnoissa on työntäyteinen jatkossakin. Toki kuka tahansa ICT-konsulttien suuresta joukosta voi laajasti tulkittuna tuntea olevansa hankintakonsultti, mutta käytännössä näin ei ole ja kokeneille, rehellisille ja ennen kaikkea riippumattomille avustajille on varmasti tarvetta – niin harvassa tällaisia loppujen lopuksi tänä päivänä on. Toki moni konsultti osaamisensa puolesta kuuluisi tähän sarjaan, mutta nykyisen työnantajansa leivissä saattaa jopa aiheetta leimautua puolueelliseksi jonkin tuotteen tai toimittajan puolestapuhujaksi ilman objektiivista arviointia. Pienehköille ja puolueettomille toimijoille on siis tilaa.

Jotta hankintakonsultoinnin tarjonnassa voisi erottua muutenkin kuin työntekijöiden CV:n pituuden ja kauneuden avulla, Relatorissa on jo useamman vuoden ajan kehitetty uutta palvelutuotetta, jonka avulla voidaan tehostaa ja nopeuttaa hankintaprosessia sekä parantaa hankittavan järjestelmän laatua. Tällä hetkellä hanke on siinä vaiheessa, että uskallamme luvata jotain tapahtuvan viimeistään ensi vuoden alkupuolella. Silloin Siilo-nimiseksi ristityn konseptimme ensimmäiset näkyvät tuotokset ovat jossain muodossa asiakkaittemme ilona. Seuraa siis sivujamme, jotain mielenkiintoista on luvassa.

-Kimmo

Kirjoittaja toimii Relator Oy:ssä toimitusjohtajana ja konsulttina.