Etusivu
Blogit ja OlympiaCastit
Juha Saapunki: Nixu testasi Suomisportin tietoturvan

Suodata sisältöjä

Seuratoiminta Huippu-urheilu Olympiakomitea Blogit ja OlympiaCastit Liikunnallinen elämäntapa Yleinen Artikkeli Blogi OlympiaCast Tiedote Uutinen

Blogi

20.11.2020 | Blogi

Juha Saapunki: Nixu testasi Suomisportin tietoturvan

Nixu toteutti elo-syyskuun aikana tuhansia testihyökkäyksiä Suomisport-palveluun. Suomisport kesti hyvin murtoyritykset, joten palvelun vastustuskyky on kunnossa. Myös urheiluyhteisössä hyökkäyksiin kannattaa varautua testaamalla ja kehittämällä käytössä olevien digitaalisten palvelujen ja tietojärjestelmien puolustuskykyä.

Suomisport-palvelun ulkoinen, raskaan sarjan tietoturva-arviointi valmistui syyskuun lopussa. Arvioinnin suoritti Suomen johtavan tietoturva-auditointeihin erikoistuneen yrityksen Nixu Oyj:n asiantuntijat. Yritys on tuoreesti ollut näkyvästi esillä Vastaamon tietovuototapauksen syiden selvittelyssä.

Hyökkäysoperaatio oli osa kattavaa ja kokonaisvaltaista Suomisportin teknistä tietoturva-testausta. Palvelun haavoittuvuuksia pyrittiin löytämään käyttämällä hakkereiden käyttämiä menetelmiä näiden pyrkiessä tunkeutumaan tietojärjestelmiin. Suomisportin web- ja mobiiliapplikaatioiden tunkeutumistestauksen sekä taustajärjestelmien, koodin ja rajapintojen analyysin lisäksi tehtiin yleinen tietosuojan arviointi ja testaus mahdollisten tietoturvauhkien ja palvelun kehityskohteiden tunnistamiseksi.

Testausprojektin läpimenoaika oli noin kaksi kalenterikuukautta ja projektiin käytettiin kaikkiaan noin 40 henkilötyöpäivää Nixun asiantuntijoiden, Suomisport-tiimin ja palvelun teknisen toimittajan Vincit Oyj:n järjestelmäkehittäjien työaikaa. Työskentely koostui yhteisistä työpajoista, joissa analysoitiin mm. Suomisportin tietoturvauhat, todellisia tilanteita simuloivista automaattisista ja manuaalisista tietoturvahyökkäyksistä, taustajärjestelmien, koodin ja järjestelmädokumentaation analyysista sekä kansainvälisen tietoturvastandardi OWASP AVSV v3.0, Level 3-mukaisesta katselmuksesta.

Arvioinnin lopputuloksena todettiin, että Suomisport-palvelun tietoturva on kunnossa ja järjestelmän toteutus vastaa voimassa olevia tietoturvavaatimuksia; Palvelun vastustuskyky ulkopuolisia tietoturvahyökkäyksiä vastaan vastaa nykyajan vaatimuksia.

Suomisportin tietoturvaa kuitenkin kehitetään edelleen. Nyt tunnistetut kehityskohteet ovat mittaluokaltaan kohtalaisen pieniä ja nämä toimenpiteet ovat jo toteutuksessa osana Suomisport-palvelun normaalia pienkehittämistä. Erityistä huomiota kiinnitetään palveluun kirjautumisen tietosuojan kehittämiseen.

Nykyaikana mikään tietojärjestelmä ei valitettavasti ole täydellisesti turvassa tietoturvahyökkäyksiltä. Hyökkäyksiä tekevät ammattilaiset kehittävät jatkuvasti uusia menetelmiä ja keinoja löytää haavoittuvuuksia digitaalisten palvelujen suojauksista. Suomisport-tietoturvan ulkoinen arviointi onkin jatkuva, määräajoin toteuttava prosessi. Ensi vuoden aikana vuotuisen teknisen tietoturvakatsastuksen lisäksi toteutetaan palvelun henkilötietosuojaan liittyvä juridinen arviointi.

Suositeltavaa olisi, että urheiluyhteisön käytössä olevien keskeisten tietojärjestelmien tietoturvan riippumattomia testauksia ja arviointeja tehtäisiin systemaattisesti hyödyntäen parasta asiantuntemusta.

Tätä voidaan ja pitää nykyaikana edellyttää järjestelmä-toimittajilta. Ja tällä tavalla voidaan oleellisesti pienentää, joskaan ei täysin poistaa, mahdollisen tietomurron riskiä ja siitä aiheutuvia ikäviä seurauksia, kuten Vastaamon tapaus on osoittanut.