Asiakkaan osallistuminen tietoturvan kehittämiseen hankittaessa vahvaa suojausta vaativia ohjelmistojärjestelmiä

Abstract

Digitalisaatio lisää kyberuhkien mahdollisuutta puolustusvoimien ohjelmistojärjestelmissä. Tietoturvaa täytyy jatkuvasti kehittää, jotta järjestelmien monipuolinen käyttö pysyisi turvallisena. Tutkimuksessa haastateltiin kymmentä asiantuntijaa. Tutkimuksen tarkoitus oli selvittää tietoturvaan vaikuttavat tekijät ja menetelmät järjestelmähankinnassa. Tutkittiin, mitä asiakkaan tulisi ottaa huomioon ohjelmistokehitysprosessissa, jotta se tukisi tietoturvan kehitystä. Lisäksi vaatimusmäärittelyä pohdittiin tietoturvan kannalta. Tärkeäksi aiheeksi nousi myös yhteistyö suunnittelijoiden, asiakkaan ja tietoturva-asiantuntijoiden välillä. Tutkimuksen mukaan asiakkaan tulisi osallistua tiiviisti ohjelmiston kehitysprosessiin. Kehitettävästä järjestelmästä tulisi tehdä uhka-arvio, sekä tietoturvavaatimuksissa tulisi ottaa huomioon käyttöympäristö, käytettävyys, ohjelmiston ympärillä oleva järjestelmäkokonaisuus ja rajapinnat. Lisäksi lakisääteiset ohjeistukset pitäisi tulkita suunnittelijalle ymmärrettävään muotoon.

Customer participation in developing information security with acquisition of software systems requiring strong protection. Digitalization increases the likelihood of cyber incidents in the software systems of the Defence Forces. Continuous information security development is necessary to ensure that a versatile use of the systems would be still secure. In this study, ten experts were interviewed. The purpose of the study was to identify factors and methods that would help develop security in software systems acquisition. It was studied what items a customer should take into account to support inclusion of security aspects in the software development process. In addition, requirement specification was discussed inform the security point of view. The collaboration between the customer, developers, and security experts became an important topic, too. According to the study, the customer should participate in software development process actively. In the requirements specification, environment, usability, and integrated system together with its interfaces should be considered. Also, a threat assessment should be done. The statutory instructions should be communicated to the developers in terms they understand.