Sigurnosni certifikati: mrtvo slovo na papiru ili istinska potvrda sigurnosti IT proizvoda

Autor: Hrvoje Bagarić, Syskit

U posljednja dva desetljeća, sigurnosne su prijetnje prošle razvoj od relativno jednostavnih virusa i napadačkih tehnika do dugotrajnih, ciljanih i sofisticiranih napada. Posljedično, pojavila se potreba za standardizacijom sigurnosnih praksi i protokola te dokazivanjem da su implementirani – sigurnosnim certifikatima.

Pomoći njih tvrtke interno sistematiziraju cybersecurity procese, smanjuju rupe u sigurnosnoj posturi, ali i dokazuju klijentima posvećenost brizi za informacijsku sigurnost.

Kritičari kažu da su certificiranja postala pusta formalnost i marketinški igrokaz koji vodi checkbox“ mentalitetu kojem je na prvom mjestu compliance. Po njima, ovaj pristup je odraz površnog usklađivanja sa standardima, bez zasnivanja dubinske kulture sigurnosti u tvrtki. Osim toga, kritike obuhvaćaju i visoke troškove dobivanja certifikata te potencijal gušenja inovativnosti. U ovom ću vam članku ispričati kako je izgledala evolucija naših proizvoda i zašto sjedimo u taboru „ZA“ certifikate.

Što kad baratate klijentovim podacima?

Syskitova je priča započela prije 15 godina razvojem onoga što smo zvali paketiran (packaged) enterprise software. Imali smo niz proizvoda koji su pomagali IT adminima u automatizaciji zadataka i izvještavanju o stanju njihove IT okoline. Još uvijek u ponudi imamo dva proizvoda koja se instaliraju na korisničkim serverima, kojima mi nemamo pristup. U tom je slučaju dosta sigurnosnih postavki outsourceano korisnicima.

Kako se industrija mijenjala kroz godine, tako su se i zahtjevi promijenili. U proteklih smo se nekoliko godina lagano migrirali s paketiranog softwarea na Software as a Service (SaaS). Time smo olakšali našim korisnicima da iskušaju, kupe i koriste naš proizvod. Međutim, sad su svi podaci kod nas, kao i izazov da dokažemo korisnicima da su njihovi podaci sigurni. Tu dosta pomaže certificiranje i to, što rigoroznije – to bolje. Što to znači za nas developere?

Definiranje procesa

U Syskitu od samih početaka inzistiramo na tehničkoj izvrsnosti. Kad smo bili manji i dok nas je bilo 10-ak developera, bilo je lako dogovoriti kojih se standarda držimo i ispratiti je li sve uredno tijekom code reviewa. Kako smo rasli (proizvod u platformu, s jednog na četiri tima developera), bilo je potrebno dogovoriti se i ustaliti procese. Prve certifikacije, koje smo ostvarili (još za vrijeme paketiranog softwarea) bile su ISO 9001 i ISO 27001. ISO 9001 služi kako bi pokazali našu posvećenost kvaliteti, dok ISO 27001 osigurava povjerljivost, integritet i sigurnost našeg poslovanja. Za ISO certificiranje bilo je bitno naše procese definirati.

Ono što nam je tu išlo na ruku je da su naši procesi već bili dobrim dijelom prilagođeni za certifikate, samo ih je trebalo zapisati i enforceati. Za naš R&D odjel bilo je važno definirati kako prikupljamo korisničke zahtjeve i kako reagiramo u slučaju kritičnog problema. Vodimo se time da je korisnik najvažniji te nam je brzi odgovor na probleme uvijek bila vrijednost kojim smo se dičili. Dakle, riješili smo bitne dokumentacijske i procesne zahtjeve i stekli dokaz da se zaista držimo tih procesa. Određeni certifikati, poput SOC 2 Type 2 u SAD-u, nam omogućuju da nas američke korporacije uzmu uopće u razmatranje kao potencijalno rješenje, jer zbog rigoroznih regulativa ne smiju poslovati s tvrtkama koje ih nisu ostvarile.

SOC 2 Type 2 certifikat je jedan od najtežih za dobiti. Kako bismo ga dobili, prvi je korak bio specificirati naše procese kojim osiguravamo sigurnost Syskit Pointa, kao i infrastrukture koju koristimo. Potom su slijedila tri mjeseca revizije, tijekom kojih su revizori validirali dizajn, implementaciju i operativnost sigurnosnih kontrola. Stresno i teško, ali iz tog poduhvata smo izašli samopouzdani da nam je rješenje sigurnije i da lakše noću spavamo.

Pen testing – posljednji dio slagalice

Posljednji dio naše sigurnosne slagalice jest penetracijsko testiranje. Minimalno jednom godišnje, iskusni pen testeri pokušavaju nam upasti u rješenje. Uvijek je zanimljivo vidjeti koji su novi attack vectori i na što posebno moramo paziti. Naravno, svaki propust koji napravimo zasluži poseban set automatskih testova kako bi bili sigurni da se više nikad ne može ponoviti!

Naši developeri se redovno educiraju kako pisati sigurni kod te koji su standardni sigurnog razvoja kao proaktivnog pristupa (security by design) kojeg se moramo pridržavati.

Zaključno, ako mislite na sigurnost od početka developmenta, stjecanje certifikata i usklađivanje sa standardima će vam biti značajno olakšano. U tom procesu, developeri mogu steći korisna znanja koja potom mogu primijeniti na svakom sljedećem projektu, a tvrtke poboljšati svoj proizvod i povećati mu konkurentnost.