Opsec Oy:n palvelut, tietoturvatestaus.

Tietoturvatestaukset

Tietoturvatestauksella tarkoitetaan yrityksen ympäristöstä sovittujen kohteiden tietoturvan todentamista tunnettujen haavoittuvuuksien osalta. Haavoittuvuuksia ovat esimerkiksi puutteelliset päivitykset ja vahingossa tehdyt virheelliset asetukset tai vastaavat heikkoudet tietoturvassa. Tietoturvatestaukseen voi kuulua myös verkossa olevien laitteiden löytäminen ja raportointi automatiikan avulla. Selvityksen perusteellisuus ja tason määritys perustuvat aina testattavan järjestelmän kriittisyyteen ja puitteisiin, jotka testaukselle asetetaan yhdessä asiakkaan kanssa.

Tietoturvatestauksen kohteina voivat olla mm. verkkosivustot ja verkkosovellukset, toiminnanohjausjärjestelmät ja muut tärkeät tietojärjestelmät, palvelimet ja työasemat, lähiverkon aktiivilaitteet, kiinteistöautomaatio ja kamerajärjestelmät sekä julkisessa verkossa olevat palvelimet, kuten www- ja sähköpostipalvelimet sekä palomuurit.

Miksi testataan ja millaista tietoa testauksesta saadaan?

Nykypäivän helposti hyödynnettäviä kohteita verkkohyökkääjälle ovat etenkin julkiset verkkopalvelut, joita ovat esimerkiksi erilaiset verkkokaupat tai yritysten tarjoamat asiakasportaalit ja -rajapinnat. Verkkosivustojen käyttämät erilaiset komponenttiyhdistelmät eivät välttämättä vaadi kuin yhden päivittämättömän komponentin sisältämän kriittisen haavoittuvuuden, joka voi tarjota hyökkääjälle pahimmassa tapauksessa avaimet jopa koko verkkopalvelimen kaappaamiseen tai asiakastietojen vuotamiseen. Uhka voi sijaita myös muualla kuin pelkissä haavoittuvissa komponenttikirjastoissa ja tämä vaatiikin tarkemman selvityksen, joka toteutetaan esimerkiksi OWASP ASVS -projektin tuomien hyvien käytäntöjen ja vaatimusten mukaisesti.

Testauksen tulokset kertovat suoraan testattavan ympäristön yleisestä turvallisuustasosta. Tarvittaessa tuloksista on nähtävissä myös yksityiskohtainen lista haavoittuvuuksien aiheuttajista sekä ehdotetut korjaustoimenpiteet. Testauksessa tuotetun raportin avulla asiakas pystyy tekemään tai teettämään toivotut korjaustoimenpiteet. Kertaluontoisen testauksen lisäksi on mahdollista toteuttaa automatisoidusti testausta sovituin väliajoin. Tämä on erinomainen vaihtoehto esimerkiksi järjestelmien säännölliseen testaamiseen.

Kenelle tietoturvatestaus soveltuu ja mikä on projektin laajuus?

Tietoturvatestaus sopii kaiken kokoisille yrityksille. Erityisen tärkeää testaus on sellaisille yrityksille, jotka tarjoavat julkisesti näkyvillä olevaa palvelua. Näissä tapauksissa on hyvä kiinnittää huomiota siihen, etteivät ulkopuoliset tahot pääse luvatta järjestelmän tietoihin käsiksi. Näin pystytään torjumaan muun muassa mahdollisia henkilötietovuotoja ja palvelunestohyökkäyksiä.

Testauksen kesto ja hinnoittelu riippuvat täysin testauksen tasosta ja järjestelmän kompleksisuudesta. Perustasoisen testauksen hinnoittelu lähtee muutamista satasista ja laajamittaisemman kokonaisuuden osalta kustannukset ovat lähtökohtaisesti muutamia tuhansia euroja. Ota asiantuntijoihimme yhteyttä, niin kartoittamme testaustarpeenne ja teemme sen pohjalta teille ehdotuksen.

Lue myös järjestelmäasiantuntija Arttu Antilan vastaukset tietoturvatestausta koskeviin kysymyksiin.

Tietoturvatestaus sisältää

  • Raportin kohteen tietoturvan tasosta
  • Havaitut haavoittuvuudet
  • Korjaukset tai korjausohjeet haavoittuvuuksille
  • Toistuvan testauksen ja seurannan

Palvelun edut

  • Verkko- ja palvelinympäristö on tutkittu uhkien varalta
  • Saat selkeän kuvan it-ympäristön turvallisuudesta
  • Täytät tietosuoja-asetuksen osoitusvelvollisuuden ja huolellisuusvelvoitteen tietoturvallisuuden osalta
  • Kerromme selkeästi, miten korjaukset tulee tehdä ja tarvittaessa avustamme niiden tekemisessä