Digitalist
A hooded woman with laptop

Miten tietoturva hoidetaan kunnolla: Shift Left -strategia

Sisällönhallinta
Tietoturva
Akatsuki Ryu
3.4.2025

Suomen tunnetuin ja laajimmin julkisuutta saanut tietoturvaloukkaus on Vastaamon tietomurto. Lokakuussa 2020 suomalainen psykoterapiakeskus Vastaamo joutui vakavan kyberhyökkäyksen kohteeksi, jossa hakkeroijat varastivat yli 33 000 potilaan arkaluontoiset potilastiedot. Myös julkinen sektori on kokenut merkittäviä tietoturvaloukkauksia – useimmiten siksi, että kriittisiä tietoturvapäivityksiä ei ole tehty ajoissa. Esimerkiksi Helsingin kaupungin tietomurto viime vuonna oli Suomen historian suurin.

Nämä tapaukset osoittavat, kuinka tärkeää on asettaa tietoturva ohjelmistokehityksen ja ratkaisuhallinnan keskiöön. Me Digitalistilla sitoudumme pitämään projektimme turvallisina ja kestävinä kyberuhkia vastaan hyödyntämällä kehittyneitä työkaluja ja alan parhaita käytäntöjä. Tietoturva-asiantuntijamme Aka kertoo esimerkkejä Suomessa tapahtuneista tietomurroista ja ohjeistaa lyhyesti, miten webin tietoturvahallinta hoidetaan kuntoon.

Miksi tietoturva on tärkeämpää kuin koskaan?

Tietoturvapäivitykset ovat kuin auton säännölliset huoltotoimet; ne ovat välttämättömiä jotta kaikki toimii sujuvasti ilman, että koko homma leviää tienposkeen. Päivitykset paikkaavat haavoittuvuuksia, korjaavat julkaisemisen jälkeen löytyneitä bugeja, ja parantavat suojausominaisuuksia.

Jos päivitykset jätetään tekemättä järjestelmät altistuvat hyökkäyksille jotka johtavat tietovuotoihin, arkaluonteisten tietojen menetykseen sekä vakaviin taloudellisiin ja mainehaittoihin.

Pelkästään viime vuoden aikana Suomessa on tapahtunut useita merkittäviä tietoturvaloukkauksia, jotka ovat koskettaneet sekä julkista että yksityistä sektoria:

🔹 Valion tietovuoto (joulukuu 2024): Luvaton pääsy Valion verkkoon johti noin 70 000 henkilön henkilötietojen paljastumiseen ja poliisitutkintaan.
🔹 Nordnetin tekninen häiriö (helmikuu 2025): Tekninen virhe aiheutti asiakkaille virheellisiä näkymiä tilitiedoista ja johti digitaalisten palveluiden tilapäiseen sulkemiseen.
🔹 Sambla Groupin tietoturvalaiminlyönti (maaliskuu 2025): Tietosuojavaltuutettu määräsi Sambla Groupille 950 000 euron sakon riittämättömistä tietoturvakäytännöistä, jotka paljastivat asiakkaiden lainahakemuksia ulkopuolisille.

Nämä(kin) tapaukset korostavat, kuinka elintärkeitä ajantasaiset tietoturvapäivitykset ja vahvat suojaustoimenpiteet ovat. Tuskin haluaisit organisaatiosi löytyvän näiden joukosta.

BM:n raportin mukaan tietomurron keskimääräinen hinta vuonna 2023 oli 4,45 miljoonaa dollaria – ja vuonna 2024 summa nousi 4,88 miljoonaan dollariin. Kallis hinta maksettavaksi jostain, jonka olisi voinut ehkäistä.

Miten tietoturvaa hallinnoidaan ammattimaisesti?

Projektien suojaamiseksi noudatamme Shift Left -tietoturvastrategiaa ohjelmistokehityksen elinkaaressa. Tämä tarkoittaa, että tietoturva tuodaan mukaan kehitysprosessin alkuvaiheisiin. Virheiden ja haavoittuvuuksien ehkäisy alkaa jo ennen tuotantoon siirtymistä. "Shift left" viittaa siihen miten aikajanalla siirrytään vasemmalle, eli yleensä ajallisesti alkuvaiheeseen.

Automaatio:

Automaattiset testaukset vähentävät inhimillisiä virheitä ja tuotantovaiheen ongelmia. Testikattavuus kasvaa, kun useita testejä voidaan ajaa rinnakkain, jolloin testausresurssit voidaan ohjata kriittisiin tehtäviin.

Nopeampi julkaisu:

Shift Left -strategia nopeuttaa julkaisuprosessia, kun DevOps- ja tietoturvatiimit voivat työskennellä samanaikaisesti. Mahdolliset haavoittuvuudet tunnistetaan ja korjataan jo kehitysvaiheessa, mikä parantaa ohjelmiston laatua ja lyhentää läpimenoaikaa.

Käyttämämme työkalut ja menetelmät: 

Platform.sh Observability Suite:

The Platform.sh Observability Suite on olennainen osa valvontaratkaisujamme. Se mahdollistaa reaaliaikaisen seurannan, poikkeamien havaitsemisen ja nopean reagoinnin uhkiin – ennen kuin ne ehtivät eskaloitua.

Aikido Security Platform:

Aikido on sovellusturvallisuuden kokonaisratkaisu, joka tarjoaa kehittyneitä työkaluja koodin ja pilviympäristöjen haavoittuvuusanalyysiin ja skannaukseen. Se on keskeinen osa automaattista suojausketjuamme.

Threat modeling (uhkien mallinnus):

Mallinnus on järjestelmällinen tapa tunnistaa ja analysoida mahdollisia tietoturvauhkia. Sen avulla kartoitetaan suojattavat resurssit, mahdolliset hyökkääjät, heidän motiivinsa ja hyökkäysreitit. Mallinnuksen avulla voidaan reagoida riskeihin jo ennen kuin ne muuttuvat todellisiksi uhkiksi kehitysprojektissa.

Poimintoja käyttämistämme analyysi- ja testausmenetelmistä:

  • Static Application Security Testing (SAST): Tunnistaa koodin haavoittuvuudet jo kehityksen alkuvaiheessa.
  • Infrastructure as Code Scanning (IAS): Varmistaa, että infrastruktuurin määritykset ovat turvallisia.
  • Software Composition Analysis (SCA): Tarkistaa avoimen lähdekoodin riippuvuudet tunnetuista haavoittuvuuksista.
  • Dynamic Application Security Testing (DAST): Skannaa tuotantoympäristössä toimivaa sovellusta mahdollisten uhkien varalta.
  • Malware Detection: Tunnistaa haittaohjelmat paketeista, joita ei vielä löydy julkisista CVE-tietokannoista.
  • License & SBOM Compliance: Valvoo ohjelmistojen lisenssien noudattamista ja tuo läpinäkyvyyttä ohjelmistotoimitusketjuun.

    • Jatkuva kehitys, jatkuva suojaus

    Agile-ympäristössämme tietoturvapäivitykset sulautuvat osaksi kehityksen arkea. Näin varmistamme järjestelmien ajantasaisuuden ja turvallisuuden:

    1. Identify – Valvontatyökalut havaitsevat mahdolliset haavoittuvuudet.
    2. Assess – Tietoturvatiimi arvioi riskit ja priorisoi korjaukset.
    3. Develop / Mitigate – Kehittäjät toteuttavat korjaukset seuraavassa sprintissä.
    4. Pentest – Koodi testataan kattavasti, mukaan lukien automatisoidut tietoturvatestit.
    5. Deploy – Hyväksytty päivitys julkaistaan automatisoidun julkaisuketjun kautta.
    6. Monitor – Päivityksen jälkeen seurataan järjestelmän toimintaa ja vaikutuksia.

    Developing process

    Tämä ennakoiva lähestymistapa varmistaa, että tietoturva on aina etusijalla, riskit pysyvät hallinnassa, ja järjestelmien eheys säilyy.

    Pysy askeleen verran edellä hakkereita ja botteja

    Haavoittuvuuksien ehkäiseminen edellyttää ajantasaisia tietoturvapäivityksiä ja kokonaisvaltaisia suojausratkaisuja. Siksi panostamme jatkuvasti kehittyneisiin työkaluihin ja käytäntöihin, jotka suojaavat projektejamme ja varmistavat sääntelyvaatimusten noudattamisen.

    Näin suojaamme asiakkaittemme tiedot – ja vahvistamme samalla mainettamme turvallisten digitaalisten ratkaisujen edelläkävijänä.

    Oletko epävarma siitä onko digitaalisten palveluidenne ja verkkosivustojenne tietoturva kunnossa? Ei huolta, me voimme tsekata asian ja hoitaa sen kuntoon! Jutellaan!