Suoritettava tietoturvasertifikaatti
Röning, Juha; Kaksonen, Rauli (2024-02-05)
Röning, Juha
Kaksonen, Rauli
Puolustusministeriö
05.02.2024
Julkaisusarja:
Maanpuolustuksen tieteellisen neuvottelukunnan julkaisuja 2024:3This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
http://urn.fi/URN:ISBN:978-951-663-138-0Tiivistelmä
Laitteiden ja palvelujen kyberturvallisuus on osa yhteiskunnan häiriötöntä toimintaa. Usein turvallisuus todennetaan tietoturvasertifikaatilla, esimerkkinä Common Criteria. Sertifikaatti kattaa kuitenkin usein vain tuotteen yhden version. Tämä ei vastaa nykyajan vaatimuksia, koska tuotteita on päivitettävä säännöllisesti. Uhat ja tekniikat päivittyvät, mihin pitäisi reagoida ripeästi. Sertifikaatin tulisi kattaa tuotteen koko elinkaari.
Tässä hankkeessa tutkittiin uudentyyppisen suoritettavan tietoturvasertifikaatin vaatimuksia ja kattavuutta. Suoritettava sertifikaatti koostuu tuotteelle räätälöidyistä ajettavista testeistä. Uudet versiot sertifioidaan ajamalla testitapaukset uudelleen. Hankkeessa toteutettiin kaksi prototyyppiä todelliselle tuotteelle. Ensimmäisen prototyypin vaatimuskattavuus on 80 % tutkimuksesssa laadituille vaatimuksille. Toinen prototyyppi käytti ETSI EN 301 645 -standardia, ja saavutti 45 %:n kattavuuden tietoturvakriittisilille rajapintatesteille. Korkeampi automaatioaste on mahdollista saavuttaa lisätyöllä.
Suoritettava tietoturvasertifikaatti voidaan toteuttaa, mutta ainakaan aluksi se ei kata kaikkia vaatimuksia. Kattavuutta voidaan laajentaa kehittämällä vaatimuksia ja käytettyjä tekniikoita. Suoritettava sertifikaatti mahdollistaisi tuotteiden elinkaaren kattavan sertifioinnin, mikä nostaisi yleistä tietoturvan tasoa.
Tässä hankkeessa tutkittiin uudentyyppisen suoritettavan tietoturvasertifikaatin vaatimuksia ja kattavuutta. Suoritettava sertifikaatti koostuu tuotteelle räätälöidyistä ajettavista testeistä. Uudet versiot sertifioidaan ajamalla testitapaukset uudelleen. Hankkeessa toteutettiin kaksi prototyyppiä todelliselle tuotteelle. Ensimmäisen prototyypin vaatimuskattavuus on 80 % tutkimuksesssa laadituille vaatimuksille. Toinen prototyyppi käytti ETSI EN 301 645 -standardia, ja saavutti 45 %:n kattavuuden tietoturvakriittisilille rajapintatesteille. Korkeampi automaatioaste on mahdollista saavuttaa lisätyöllä.
Suoritettava tietoturvasertifikaatti voidaan toteuttaa, mutta ainakaan aluksi se ei kata kaikkia vaatimuksia. Kattavuutta voidaan laajentaa kehittämällä vaatimuksia ja käytettyjä tekniikoita. Suoritettava sertifikaatti mahdollistaisi tuotteiden elinkaaren kattavan sertifioinnin, mikä nostaisi yleistä tietoturvan tasoa.
Kuvaus
Tämä julkaisu on toteutettu osana Maanpuolustuksen tieteellisen neuvottelukunnan (MATINEn) tutkimusrahoituksen toimeenpanoa. (www.defmin.fi/matine) Julkaisun sisällöstä vastaavat tiedon tuottajat, eikä tekstisisältö välttämättä edusta puolustusministeriön näkemystä.