Digital Public Goods Alliance

Tietoturvan merkitys avoimen lähdekoodin ratkaisuissa korostuu tasavertaisen digimaailman rakentamisessa

Digital Public Goods Alliance (DPGA) on YK-hanke, jonka tavoitteena on tarjota esimerkiksi terveyteen ja infrastruktuuriin liittyviä digitaalisia hyödykkeitä köyhien ja keskivarakkaiden valtioiden tarpeisiin, joissa kaupalliset ohjelmistot saattavat olla liian kalliita ja toimittajaloukkuun ajautuminen halutaan välttää. DPG -tuotteet voivat olla avoimen lähdekoodin ohjelmistoja, dataa, AI-malleja, standardeja tai muita avoimia sisältöjä, jotka täyttävät DPG-standardien ja soveltuvan lainsäädännön vaatimukset.

Gofore paransi alustan turvallisuutta ja arkkitehtuuria tarjoten samalla kyberturvallisuus- ja konsultointipalveluita. Goforen työ keskittyi yksityisyyden ja turvallisuuden parhaiden käytäntöjen dokumentointiin sekä lähestymistavan kehittämiseen avoimen lähdekoodin projektien haavoittuvuuksien tunnistamiseksi ja korjaamiseksi, joihin DPG:t perustuvat.

haaste

Miten varmistetaan turvalliset ja yleishyödylliset avoimen lähdekoodin ohjelmistot?

DPG-projektit rakentuvat usein erilaisista avoimen lähdekoodin kirjastoista ja ratkaisuista, jotka voivat poikia tietoturvaongelmia ja aiheuttaa haavoittuvuuksia, ellei niiden turvallisuutta varmisteta perusteellisesti.

Viime aikoina ohjelmistoprojektien painopiste on siirtynyt uuden koodin luomisesta erilaisten avoimen lähdekoodin kirjastojen ketjuttamiseen räätälöidyiksi kokonaisuuksiksi. Kirjastojen tietoturvan tasossa voi olla suurtakin vaihtelua, minkä vuoksi niiden keskinäisten riippuvuuksien dokumentoiminen kattavasti on tärkeää jokaisessa projektissa.

Perusteellinen ohjelmistomateriaalien luettelointi on elintärkeää riskienhallinnan kannalta. Jos tuoteomistaja ei tiedä, mistä projektin riippuvuudet syntyvät tai kuka niiden taustalla on, vanhentuneiden tai jopa pahansuopien kirjastojen päätymisen riski valmiiseen tuotteeseen kasvaa. Tämä alleviivaa hyvämaineisten kirjastojen ja luotettavien rakenteiden tärkeyttä. Riippuvuusongelmien korjaaminen käyttöönottovaiheessa on erittäin kallista ja aikaa vievää.

Henkilötietojen vuotaminen voi olla epävakaiden valtioiden kansalaisille hengenvaarallista. Datan luottamuksellisuuden, eheyden ja käyttöoikeuksien varmistaminen huolellisella turvallisuussuunnittelulla tulisi aloittaa heti jokaisen ohjelmistoprojektin alkuvaiheessa.
– Niall O’Donoghue, tietoturvakonsultti, Gofore

lähestymistapa & ratkaisut

Toimintamallit kuntoon parhaiden käytäntöjen ja teknisen turvallisuusarvioinnin kautta

Työmme tähtäsi DPGA-alustan yleisen turvallisuuden, arkkitehtuurin ja yksityisyyskäytäntöjen parantamiseen.

Alustalle oli kehitetty jo lukuisia hyviä periaatteita ja standardeja, mutta havaitsimme, että turvallisuutta koskeva itsearviointiprosessi puuttui. Siksi kehitimme kyselyn, jonka avulla kehittäjät voivat määritellä ja parantaa DPG-projektien turvallisuuden tasoa. Se kattaa muun muassa tietoturvasuunnittelun, yksityisyyskäytännöt ja riskienhallinnan.

Dokumentoimme yksityisyyteen ja turvallisuuteen liittyviä parhaita käytäntöjä sekä kehitimme haavoittuvuuksien havaitsemista ja niihin puuttumiseen helpottavan prosessin. Lisäksi DPGA:n datan omistajuutta, dataluokittelua ja vaikutusarviointia koskevia ydinperiaatteita jatkokehitettiin ja täydennettiin.

Suoritimme myös penetraatiotestauksen saavutettavaan kansalaisrekisteröintiin keskittyvälle OpenCRVS-palvelulle, joka on eräs alustan avainprojekteista.

lopputulema

Paremmat edellytykset tukea kestävää kehitystä kehittyvissä maissa

Kehitys- ja konsultointiprojektin tuloksena DPGA:lla on nyt avoimen lähdekoodin ratkaisujen haavoittuvuuksien havaitsemista ja niihin puuttumista helpottavat prosessit ja paremmat työkalut, jotka edesauttavat tietoturvan, riskienhallinnan ja yksityisyyden varmistamista.

DPG-kehittäjät ovat erittäin tyytyväisiä penetraatiotestauksen tuloksiin. Osana toimintamuutosta tietoturva- ja yksityisyyssuunnittelu on nykyään keskeisemmässä roolissa DPG:n ohjelmistoprojekteissa ja entistä vahvemmin mukana jo projektien alkuvaiheissa.

Projektin kohokohdat

Tavoite

Miten varmistetaan turvalliset ja yleishyödylliset avoimen lähdekoodin ohjelmistot?

Lähestymistapa

Toimintamallit kuntoon parhaiden käytäntöjen ja teknisen turvallisuusarvioinnin kautta

Lopputulema

Paremmat edellytykset tukea kestävää kehitystä kehittyvissä maissa

Goforen tiimin fokuksessa oli varmistaa, että DPG-tuoteomistajat saavat todellista arvoa ja oppia yhteistyöstä. Heidän akateemisen kurinalainen lähestymistapa sekä käytännönläheiset ratkaisut johtavat aina hyviin tuloksiin.

Prajakta Kuwalekar, tuotepäällikkö, DPGA

Kyvykkyydet

Näillä taidoilla ja osaamisella työ toteutettiin

  • Kyberturvallisuus
  • Agile Transformation & Lean
  • Uudistumiskyky

Ota yhteyttä!

Ville Suvanto

Digitaalinen yhteiskunta

ville.suvanto@gofore.com

040 765 6158

Takaisin ylös