Tarmo Linnamägi: kõige lihtsam viis küberturvalisuses põruda on panna inimesed eraldi tubadesse istuma

10.10.2023

Küberturvalisus on muutumas aina suuremaks osaks igapäevaelust, mis tähendab, et see on muutunud IT-teenuste vaates millekski, mis ehitatakse lahendustesse esimest hetkest sisse, mitte ei lisata hiljem järelmõttena juurde. Elisa valdkonnajuht Tarmo Linnamägi sõnab aga, et see on midagi, mida on keeruline hästi teha, kui vastutavad rollid on teineteisest liialt kaugele jäänud.

Arendusmaastik on viimaste aastakümnete jooksul meeletult muutunud. IT algusaegadel oli tavaline, et iga roll istus omaette toas ja teineteisele põrgatati täiendamiseks valmis lahendusi, tänaseks on aga mõistetud koostöö olulisust. Mida rohkem projektijuhid, arendajad ja päriselt teenust igapäevaselt töös hoidvad inimesed teineteisega juba esimese planeerimise hetkest suhtlevad, seda lihtsam on tagada, et mõni oluline nüanss ei jää ühe isiku teadmatuse tõttu tähelepanuta.

Sellest põhimõttest arenes aastate eest välja DevOps lähenemine ehk ühte tiimi toodi kokku projektijuhid, arendajad ja süsteemi igapäevase töö eest vastutavad inimesed. Nad istuvad ühes toas, planeerivad toote olemust päevast üks üheskoos, toovad esile enda valdkonna vaatest olulisi probleeme ja leiavad kompromisse, kuidas rahuldada kõigi vajadusi nii, et lõpptoode siiski tiimi kui terviku ootustele vastaks.

Sellest toast oli aga hiljaaegu veel puudu küberturvalisuse roll. Kui täna on mõeldamatu, et projektijuht paneb plaani paika, teeb otsused ära ja võtab alles seejärel arendajat jutule, siis küberturvalisuse vaates oli see veel mõni aasta tagasi tava. Turvatiimi lauale maandus sisuliselt lõplikult valmis lahendus ja eeldati, et nad mõtlevad siis välja, kuidas kasutajate kaitset tagavad lähenemised sinna lisada. Nii palju kui võimalik seda ka tehti, kuid ebasoodsal pinnasel külvates on väljapaistvaid tulemusi keeruline oodata.

Turvainimene kolib sisse

Mida keerukamaks ja ohtlikumaks on aga muutunud küberruum, seda selgemalt on hakanud tänased tiimid mõistma, et turvalisusega ei saa tegeleda järelmõttena. Üksjagu on küll võimalik hiljem juurde lisada, kuid tabalukkude lisamise asemel oleks mõistlikum vaadata, kas kuskil on mõni tagauks, mille ehitamist oleks saanud esimesest hetkest alates vältida. Selle jaoks on aga vajalik, et küberturbe ekspertteadmistega inimene oleks protsessi kaasatud juba esimeste arhitektuuriliste otsuste tegemisest alates – keegi, kes teab sellest valdkonnast kõike, peab saama öelda, et ärme nii tee.

Sellest põhimõttest lähtuvalt on kunagi palju kõlapinda saanud DevOps hakanud vajuma tahaplaanile, asendudes DevSecOps printsiibiga. Kui DevOps seadis põhimõtte, et ühes meeskonnas töötavad koos nii arendajad kui ka operatsioonide pool, siis DevSecOps põhimõttele alluvad meeskonnad kaasavad seltskonda alati ka turvalisuse eest vastutaja. Mõnikord võib see roll olla integreeritud mõne teise rolli külge, teinekord võib seda kanda eraldi inimene. Küll aga on see põhimõtteline otsus, millel on meeletu mõju.

DevSecOps lähenemise suurimaks mõjuks on teadlikkuse tõus. Arendusmeeskond tunnistab endale, et turvalisus on tõusnud esikohale ning sellega on vaja teadlikult tegeleda. Kui kohtub DevSecOps meeskond, et järgmist arendust planeerima hakata, on juba nimest mõista, et turvateemad tulevad samuti jutuks. Sisuliselt on see elustiililine muutus – kunagi istusid arendajad omavahel, siis hakati istuma koos projektijuhtidega, nüüd harjutakse koosviibimistele kutsuma ka küberturbeinimesi.

Sel on reaalne mõju

See on midagi, millel on ka reaalne mõju. Nii nagu areneb arendusmaailm ise, arenevad iga päevaga ka ohud, mis neid arendusi kummitavad. Mida suuremaks ja keerukamaks IT-lahendused muutuvad, seda kõrgemale tõuseb risk, et kuskil on haavatavus, mida õigel hetkel teadmatusest või tähelepanematusest ära ei lapitud. Selle kõrval arenevad igapäevaselt nende küberpättide oskused, kes nende vigade peal sõidavad.

Küberturvalisus on ka midagi, mida tänased kliendid eeldavad. Suurem osa kriitilise intsidendi ohvriks langenud ettevõtetest ei saa enam kunagi jalgu alla, mis tähendab, et küberturvalisusele vilistades on lihtne end lõplikult nurka värvida. Kui kunagi otsustati sellele teemale mitte ressursse pühendada, siis on pauk lihtne ära käima ja varsti võib uksed kinni panna. Mida päev edasi, seda selgemini hakatakse mõistma, et sellise lähenemisega enam edasi minna ei saa.

DevSecOps lähenemine ja üldine arusaam turvateemade olulisest aitab neid muresid ennetada. Mitte täielikult vältida, kuid vähemalt suurendab see tõenäosust, et kõige jubedamad eksimused suudetakse likvideerida faasis, mil nendega veel midagi üldse teha annab. Mida lähemal erinevad kriitilised rollid teineteisele (virtuaalses) kontoris istuvad, seda parem on – suhtlus ja üheskoos planeerimine on see, mis lõpuks turvalise, hästi töötava ja vastupidava lahenduse valmis meisterdavad.

Seotud märksõnad
IT ekspert
Uus Elisa Elamus ja Huub Mine vaatama
Vanemad TV-teenused
Liitumised enne 10.08.2021
Mine vaatama
Vanemat TV-teenust saab veebis vaadata kuni 31.05.2024. Kui soovid ka edaspidi TV-d veebis vaadata, liitu Elisa Elamusega!