|
Ohjelmistoturvallisuus
Ohjelmistoturvallisuudella tarkoitetaan ohjelmistojen
toimivuutta suunnitellulla tavalla.
 Ohjelmistoturvallisuuteen
kuuluu ohjelmien ja lisenssien hallinta, joita käytetään
palvelimissa, mobiililaitteissa ja tietokoneissa. Henkilöstön
kouluttaminen ja ohjelmien käyttöoikeuksien rajaaminen
vahvistaa turvallisuutta. Myös henkilöstö pitäisi pystyä
tunnistamaan ja todentamaan ennen toimenpiteitä tietoverkossa.
Ohjelmiston laatu on tärkeä elementti
ohjelmistoturvallisuudessa, jottei niiden todennusmekanismeja
voi kiertää helpolla tai ettei niiden tietoturva-aukkoja voida
hyödyntää rikolliseen toimintaan.
Käyttäjien käyttöoikeudet
Ohjelmistoturvallisuutta kasvatetaan käyttäjien oikeuksien
rajaamisella. Tällä estetään luvattomien käyttäjien pääsy
ohjelmiin, joihin heillä ei ole tarvetta päästä käyttämään.
Esimerkiksi koulun tietokoneilta ei ole opiskelijoilla pääsyä
tietokoneen hallinnalliselle puolelle ja heillä ei ole lupaa
asentaa omia ohjelmiaan koneisiin. Nämä käyttöoikeudet
annetaan käyttäjän todentamisella henkilökohtaisilla
tunnuksilla ja salasanoilla. Salasanat vaihdatetaan heti
ensimmäisessä kirjautumisessa ja niitä vaihdetaan ainakin pari
kertaa vuodessa. Salasanat ovat myös tarpeeksi monimutkaiset,
jotta niiden arvaaminen olisi vaikeampaa. Tietyn tyyppiset
salasanat ovat helposti murrettavissa netistä ladattavien
ohjelmien avulla. Henkilökuntaa on ohjeistettava kirjallisesti
ja suullisesti salasanojen luonnissa, ohjelmistojen
turvallisessa käytössä ja tietojen salaamisessa. Ohjelmistojen
käyttöä voidaan rajoittaa myös sijainnilla, joten ohjelmia ei
voida käyttää yrityksen tai organisaation lähiverkon
ulkopuolella. Myös verkossa olevat tiedot voidaan rajoittaa
näin.
 Ohjelmiston
laatu
Huonosti suunnitellut tai toteutetut
ohjelmistot ovat haittana tietoturvan näkökulmasta katsottuna.
Käyttäjätunnuksista ei ole hyötyä, jos todennusmekanismit
voidaan kiertää jollain toisella tavalla. Myös ohjelmat,
joihin ei saa enää uusia korjauspaketteja, ovat vaarassa
joutua murtautumisyritysten kohteeksi. Näihin sisältyvät myös
käyttöjärjestelmät. Ohjelmistoissa olisi hyvä olla hyvät loki-
ja tapahtumatietojen kirjausjärjestelmät. Jos jotain
epämääräistä tapahtuu tai järjestelmään päästään murtautumaan,
tiedetään heti, kuka on kyseisenä ajankohtana ollut
käyttämässä ohjelmistoa. Myös haittaohjelmat ja virukset
hyödyntävät heikkolaatuisia ohjelmia, joiden avulla voidaan
päästä järjestelmään sisään. Lisenssit on syytä olla kunnossa,
sillä esimerkiksi vanhentunut viruksentorjuntaohjelma voi
saada paljon ongelmia aikaan. Ohjelmistoille pitää myös
ajoittaa päivitykset asentumaan mahdollisimman nopeasti uusien
korjauspakettien myötä.
Ohjelmistoihin saattaa tulla
vikoja, vaikka kyseessä olisi laadukas ohjelmisto.
Ohjelmistoihin on yleensä tarjolla ylläpito- ja
huoltosopimuksia. Joissain tapauksissa organisaatio tuottaa
itse ohjelmistojaan avoimen lähdekoodin ohjelmistoista ja
siten voi korjata ongelmat itse. Näissäkin ohjelmissa on
otettava ohjelmistoturvallisuus tarkasti huomioon jo
ohjelmistoa suunnitellessa.
Ohjelmistojen varmuuskopiointi
Joskus
ohjelmistojen virhetilanteet saavat ohjelman tai jopa koko
järjestelmän kaatumaan. Myös virukset tai haittaohjelmat
saattavat lukita ohjelmia tai poistaa tiedostoja. Tiedot
voidaan palauttaa ohjelmien korjaamisen tai uudelleen
asentamisen jälkeen, jos varmuuskopiot on tehty
asianmukaisesti. Jotkut ohjelmat tekevät varmuuskopiointia
automaattisesti. Joskus on hyvä asentaa oma ohjelmansa, joka
huolehtii varmuuskopioinnista ajoitettuna. Virtualisoidulla
alustalla tallennetut tiedostot voidaan kahdentaa ja näin
varmuuskopioida. Kaikista koneilla olevista ohjelmista ja
asetuksista kannattaa tehdä lista, jotta palauttaminen on
nopeampaa, luotettavampaa ja helpompaa.
|
