Suomisport jälleen tietoturvahyökkäyksen kohteena – WithSecure Oyj testasi

WithSecure Oyj toisti vuoden 2023 lopussa Suomisport-palvelun teknisen tietoturvan arvioinnin. Edellisen kerran arviointi suoritettiin vuoden 2020 lopussa. Suomisport kesti jälleen hyvin murtoyritykset, joten palvelun vastustuskyky tietoturvauhkia kohtaan on hyvällä tasolla.

Suomisport on Olympiakomitean kehittämä ja ylläpitämä palvelu, joka on laajassa käytössä koko suomalaisessa liikunta- ja urheiluyhteisössä. Palvelua käyttää yli 800 000 henkilöasiakasta, yli tuhat urheiluseuraa ja lähes jokainen lajiliitto. Palvelun laajuuden ja merkittävyyden vuoksi Olympiakomitea haluaa ottaa tietoturva-asiat todella vakavasti.

Osoituksena aiheen tärkeydestä Suomen Olympiakomitea solmi vuoden 2023 aikana yhteistyösopimuksen yritysten ja yhteisöjen tietoturvaan erikoistuneen suomalaisen WithSecuren kanssa. Kumppanuuden keskiössä on käytännön yhteistyö suomalaisen urheilu- ja liikuntayhteisön toimintaympäristön turvallisuuden varmistamisessa.

Yhteistyön konkreettiset näytöt teknisen tietoturvan parissa valmistuivat joulukuun lopussa, kun Suomisport-palvelun ulkoinen, raskaan sarjan tietoturva-arviointi valmistui. Arvioinnin suorittivat WithSecuren kansainvälisen tason tietoturva-asiantuntijat. WithSecure on tietoturvaratkaisuja tarjoava suomalainen huippuyritys, joka syntyi taannoin F-Securen jakautuessa kahteen erilliseen yhtiöön.

Suomisport-palvelussa tehtiin viime vuoden joulukuussa kattava ja kokonaisvaltainen tekninen tietoturvatestaus. Palvelun haavoittuvuuksia pyrittiin löytämään käyttämällä hakkereiden käyttämiä menetelmiä näiden pyrkiessä tunkeutumaan eri menetelmillä tietojärjestelmiin. Suomisportin web- ja mobiiliapplikaatioiden tunkeutumistestauksen sekä taustajärjestelmien, koodin ja rajapintojen analyysin lisäksi tehtiin yleistä tietosuojan arviointia ja testaus mahdollisten tietoturvauhkien sekä palvelun kehityskohteiden tunnistamiseksi.

Testausprojektin läpimenoaika oli noin yksi kalenterikuukautta ja projektiin käytettiin kaikkiaan arviolta 25 henkilötyöpäivää WithSecuren asiantuntijoiden, Suomisport-tiimin, erityisesti tuoteomistaja Jussi Heiskamon ja palvelun teknisen toimittajan Vincit Oyj:n järjestelmäkehittäjien työajalla. Työskentely koostui yhteisistä tapaamista, joissa analysoitiin mm. Suomisportin tietoturvauhat, todellisia tilanteita simuloivista automaattisista ja manuaalisista tietoturvahyökkäyksistä, taustajärjestelmien, koodin ja järjestelmädokumentaation analyysista sekä kansainvälisen tietoturvastandardi OWASP AVSV v3.0, Level 3 -mukaisesta katselmuksesta. Edellinen tietoturva-arviointi antoi myös osaltaan hyvän pohjan nyt tehdylle analyysille, jonka toteutus sujui WithSecuren pätevien asiantuntijoiden toimesta nopeasti ja laadukkaasti.

Arvioinnin lopputuloksena todettiin, että Suomisport-palvelun tietoturva on kunnossa ja järjestelmän toteutus vastaa voimassa olevia tietoturvavaatimuksia; palvelun vastustuskyky ulkopuolisia tietoturvahyökkäyksiä vastaan vastaa nykyajan vaatimuksia. Tunnistetut kehityskohteet ovatkin mittaluokaltaan varsin pieniä, ja nämä toimenpiteet ovat jo toteutuksessa osana Suomisport-palvelun normaalia pienkehittämistä.

Nykyaikana mikään tietojärjestelmä ei valitettavasti ole täydellisesti turvassa tietoturvahyökkäyksiltä. Hyökkäyksiä tekevät ammattilaiset ja harrastelijatkin kehittävät jatkuvasti uusia menetelmiä ja keinoja löytää haavoittuvuuksia digitaalisten palvelujen suojauksista. Suomisport-tietoturvan ulkoinen arviointi onkin jatkuva, määräajoin toteutettava prosessi.  Kuluvan vuoden aikana vuotuisen teknisen tietoturvakatsastuksen lisäksi toteutetaan WithSecuren asiantuntijoiden kanssa Olympiakomitean henkilötietosuojakäytänteisiin liittyvä hallinnollis-juridinen arviointi, jonka tavoitteena on sisäisen ohjeistuksen ja opastuksen lisäksi tukea koko suomalaisen urheiluyhteisön hyvää tietohallintoa.

Suositeltavaa olisi, että urheiluyhteisön käytössä olevien keskeisten tietojärjestelmien tietoturvan riippumattomia testauksia ja arviointeja tehtäisiin systemaattisesti ja riittävässä laajuudessa hyödyntäen parasta kansainvälisen tason asiantuntemusta. Laadukasta tietoturvallisuutta ja sääntelyn mukaista tietosuojan tasoa, erityisesti henkilötietojen osalta, voidaan ja pitää nykyaikana edellyttää järjestelmätoimittajilta ja näiden yhteisölle tarjoamiltaan tietojärjestelmiltä. Tällä tavalla voidaan oleellisesti pienentää, joskaan ei koskaan täysin poistaa, mahdollisten tietomurtojen ja tietosuojaloukkausten riskiä ja näistä aiheutuvia ikäviä seurauksia, kuten yhä julkisuudessa näkyvä Vastaamon tapaus osoittaa.

Oleellista on teknisen tietoturvan rinnalla tukea hyvää tietohallintoa ja opastaa tietojärjestelmien käyttäjiä urheiluyhteisössä käsittelemään henkilötietoja lainmukaisella tavalla ja käyttämään sääntelyn vaatimukset – esimerkiksi yhdistyslain mukainen jäsenyys urheiluseurassa sekä GDPR:n mukainen rekisteröityjen yksilöinti ja oikeus omiin henkilötietoihinsa – täyttäviä tietojärjestelmiä.

Teksti: Juha Saapunki