Küberturvalisus on nüüd tähtsam, kui kunagi varem – 8 võimalust, kuidas tarkvaraarendus turvalisemaks teha

Hiljuti jõudis uudistesse uus tarkvaraliik – protestitarkvara. Tegemist on juhtumiga, kus mõnesse vabavaralisse programmikoodi, mida paljud arendajad oma arendustes kasutavad, lisati kahjulik programmijupp, mis kas tarkvara tööd segas või hoopiski andmed kõvakettalt kustutas. See ja paljud muud kasvavad turvaohud on praegu tõsisemad kui kunagi varem ja muidugi peab ka tarkvara arendades püsima valvel. Aga kuidas?

Tarkvaraarenduse turvalisemaks muutmiseks annab mitu vajalikku soovitust arendusfirma Singleton.

1. Kasuta arendajaga suhtlemiseks turvalisi kanaleid

Kui oled oma äri tugevdamiseks tellinud tarkvara, siis sisaldab see tihti ka saladusi, mida kõrvalistel isikutel pole vaja teada. Leke aga algab tavaliselt juba sellistest lihtsatest asjadest nagu näpuveast e-posti aadressi sisestamisel või vale telefoninumbri valimisest. 

Muidugi ei saa soovitada ebaturvalisemate kanalite täielikku vältimist, aga tähtsamad kohtumised ja olulisemad jutud tasuks siiski teha võimalikult kindlates keskkondades. 

Kasuta selleks krüpteeritud kanalit ehk VPN-i, koosolekutele aga ära lase sisse “külalisi” – mõnikord unustavad osalised end õigete kontodega koosolekutele sisse logimast ning liituvad külalistena, kuid samamoodi võib ka keegi kontvõõras sisse imbuda, kasutades ära inimeste hajameelsust. Selliseid juhtumeid on ette tulnud viimasel ajal aina tihedamini.

2. Kontrolli oma arvutit, serverit ja tarkvara viirusetõrjega

Arendusjärgus äpp, programm või serverirakendus võib olla haavatavam, kui lõpptulemus. Seega peaksid kõik pooled rohkem tähelepanu pöörama ka viirusetõrjele ja võrguturvalisusele. Hoia kõik vajalikud turbetarkvarad värsketena ning kontrolli alati üle ka saabuvad lisandid ja koodid. 

Mitmeastmeline varundus on samuti oluline – kui praegu aina tihedamini leviv väljapressimistarkvara juhtub mõned olulised andmed ära krüpteerima, aitab ainult varukoopia. Kui ka see on juba järgmise varukoopia tegemisel automaatselt pahavara nakatatud andmetega üle kirjutatud, polnud varundusest kasu. 

Siis aitab hädast välja vanema versiooni varukoopia, milles pole veel andmeid üle kirjutatud. Mõni vanem versioon võiks asuda ka võrgust lahti ühendatud andmekandjal.

3. Veebis kasuta alati turvalist ühendust (HTTPS)

Loomulikult ei pea seda enam ühegi veebiarenduse ja äpi loomise kohta üle kordama – arendajad teevad veebid ligipääsetavaks üle turvalise HTTPS-i, aga ka muudel tööga seotud lehtedel ning teenustes peaks andmelekke vältimiseks alati kasutama turvalist ühendust. 

Kui tekib kahtlus arenduse kohapealt, siis küsi arendajalt kinnitust turvaliste kanalite kohta. Vajadusel võib ka VPN-i ehk krüpteeritud privaatset turvakanalit kasutada, mis annab üle avaliku interneti pealtkuulamiskindla otseühenduse näiteks arenduskeskkonna või oluliste andmetega.

4. Mobiiliäpp peab olema samuti kaitstud

Kui arenduse osaks on mobiiliäpp, siis seegi peab olema hästi kaitstud. Näiteks võiks olla lähtekood krüpteeritud, et lekkinud mobiiliäpi koodi järgi ei saaks teha pahavara. 

Samuti peaks äpi allalaadimiseks olema kindlad ja turvalised kohad – kui kasutusel on mõni äpipood, siis peaks rakendus olema nimega, mis on selgelt äratuntav, kui aga laetakse alla eraldi kohast, siis peaks allalaadimise koht olema enda kontrolli all ja ei tohiks kasutajatele kahtlusi tekitada ega eksitada.

Vaata äpi turvamise kaheksa parima praktika kohta lähemalt siit.

5. Hoia tarkvara koodi alati turvalises keskkonnas, uksed olgu lukus

Kontoriuste lukus hoidmise soovitus pole ilmselt enam nii päevakajaline, kuid ka virtuaalsed uksed peaksid olema sama hästi lukus. Ettevõtted kasutavad aina enam Zero Trust ehk “ära usalda kedagi” turvapraktikaid, mis soovitavad, et vaikimisi olgu kõigile ligipääs pigem keelatud ja sisse saaksid erinevatesse andmebaasidesse, kataloogidesse ja testkeskkondadesse vaid eraldi loaga asjassepuutuvad inimesed. Igaüks saab loa eraldi, mitte automaatselt.

Salvesta programmikood alati turvalises keskkonnas ja ka arendaja poolt ülevaatamiseks saadetud tarkvara võiks olla säilitatud kõrvalise ligipääsuta. Kui olulisi andmeid tuleb säilitada väljaspool, näiteks kliendi seadmes, siis võiks see olla krüpteeritud ja peale kasutamist ka automaatselt kustutatud. Mobiilis säilitatavad äpi andmed näiteks võivad lekkida mõnesse teise samas seadmes kasutatavasse rakendusse, aga et seda ei juhtuks, aitab krüpteering.

6. Kaitse back-endi võõraste pilkude eest

Back-end on tarkvara jaoks oluline tagala ja mootor, mis kõike töös hoiab. Sellele tohib ligi pääseda vaid väga piiratud seltskond. 

Enamik mobiilirakendusi kasutavad klient-server mehhanismi ja seega peab täpselt ära määrama, kes on see klient, kes serveri teenuseid kasutada saab ja mismoodi kasutatakse API-sid ehk erinevatelt platvormidelt pöördumisi vahendavaid kihte.

7. Kasuta versioonijuhtimist

Küsi arendajalt verisoonihaldust, sest kuidas muidu hiljem saakski tarkvara süsteemselt uuendada ja turvaparandusi teha? 

Turvauuendusi saab teha versioonijuhtimise ja korralikult dokumenteeritud uuendamise süsteemiga. See aitab kiiremini koodimuudatusi sisse viia ning kasutajatel tarkvara värskeimale versioonile uuendada.

Üks tuntumaid versioonihalduse süsteeme on tasuta ja vabavaraline Git.

8. Koolita kasutajaid – tark töötaja on parim kaitse

Nõrgim lüli heas süsteemis võib olla mitteteadlik kasutaja. Seega parim viis oma ettevõtet turvata on kasutajaid koolitada ja teha neist turvateadlikud töötajad.

Töötajate turvakoolitus peaks olema igas ettevõttes hästi korraldatud ja pidev. Koolitusel saab läbi mängida ka erinevaid turvaolukordi, miks mitte näiteks simuleerida andmepüüki, et aidata töötajatel sotsiaalse manipuleerimise rünnakuid ära tunda. Ettevõttesiseselt võib koolituse käigus näiteks proovida küberrünnakuid korraldada, et leida üles võimalikke lekkekohti. Oma töötajad teavad kõige paremini, kus on nõrgemad kohad ja mis ei ole nii põhjalikult kaitstud.

Tulles tagasi sissejuhatuses mainitud protestitarkvara juurde – tarkvara loomisel kasutatavad lisa-allikad võiksid samuti olla alati usaldusväärsed ja seda peab kontrollima. Kolmandate osapoolte, ka vabavaraliste allikate programmikood, mis kasutusele läheb, peab olema stabiilne ja väljastatud töötavate süsteemide jaoks, mitte aga arendamisel alfa- või beetaversioonid.

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas (esmaspäeviti, kolmapäeviti ja reedeti) spetsiaalne DigiPRO liikmetele tehtud kommenteeritud uudiskiri, et sa midagi olulist maha ei magaks. Iga uudiskirja magnet on meie ajakirjanike kirjutatud pikem artikkel, mis meie arvates võiks selles valdkonnas töötavaid inimesi huvitada ja neile vajalik olla