Väittelijä selvitti keinoja organisaatioiden tietoturvan parantamiseen (Väitös: FM Kalle Rindell, 17.6.2019, ohjelmistotekniikka)

Kalle Rindell on kartoittanut Turun yliopistoon tekemässään väitöstutkimuksessa keinoja tietoturvallisten ohjelmistojen tuottamiseen tehokkaasti nykyaikaisia menetelmiä ja työkaluja käyttäen. Tutkimuksessaan Rindell osoittaa konkreettisia tapoja täyttää tietoturvalle asetetut yleiset vaatimukset sekä antaa ohjelmistoyrityksille keinoja parantaa tietoturvaa koko organisaation laajuisesti.

Digitaalinen tieto ja sen ohjelmallinen käsittely on osa yhteiskuntamme perustoimintoja. Viestintä, kauppa ja liikenne ovat tietotekniikan keskeisiä sovellusalueita, kuten myös terveydenhuolto, koulutus ja pankkitoiminta. Mikään näistä ei kuitenkaan olisi mahdollista ilman tietosuojaa ja tietoturvaa. 

– Näiden puutteesta olemme nähneet ajoittain huolestuttavia esimerkkejä ohjelmistojen suojamekanismien pettäessä. Tutkimuksessani keskitynkin siihen, miten tietoturva rakennetaan itse ohjelmistoon, mikä vähentää sen riippuvuutta ulkopuolisista tietoturvatoimista, estää tietoturvaloukkauksia ja pienentää niiden vaikutuksia koko ohjelmiston eliniän ajan, Rindell toteaa.

Rindellin väitöstutkimuksen keskeisiä teemoja ovat tietoturvatyön keinot ja tavoitteet. 

– Tietoturva ei synny itsestään eikä ilmaiseksi, mutta sen laiminlyönti ohjelmistojen rakennusvaiheessa voi aiheuttaa arvaamattoman suuria lisähaittoja myöhemmin. Ohjelmistoille ollaan asettamassa myös uusia säädöksiä, jotka edellyttävät tutkimuksessani esiteltyjen menetelmien käyttöönottoa, Rindell huomauttaa. 

Tiedon ja osaamisen lisääminen keskeinen tekijä tietoturvan parantamisessa

Rindell yhdisti tutkimuksessaan kansainvälisistä tietoturvastandardeista, kansallisesta VAHTI-ohjeistuksesta sekä teollisuuden tietoturvatekniikoista johdettuja tekniikoita käytetyimpiin ohjelmistojen kehitysmenetelmiin. Tietoturvan toteutustapoja ohjelmistokehityksessä Rindell tutki muun muassa tapaus- ja kyselytutkimuksen keinoin. Suomessa rakennettavien ohjelmistojen tietoturvatyö oli keskeinen tutkimuskohde ja tutkimusaineiston lähde. 

– Tietoturvatyön keskeisinä parannuskeinoina näen osaamisen ja tiedon lisäämisen paitsi ohjelmistoyrityksissä myös ohjelmistotuotteiden tilaajien keskuudessa. Määrätietoinen ja järjestelmällinen tietoturvariskien hallinta on tietoturvatyön perusedellytys. Tutkimuksessani osoitan tähän tarvittavia keinoja, Rindell kertoo.

Väitöstutkimuksessaan Rindell yhdistää vuosikymmenten tietoturvatyön tulokset nykyaikaisiin ja tehokkaisiin ohjelmistokehitysmenetelmiin. 

– Kehitysmallissa, jossa ohjelmistoihin lisätään uusia ominaisuuksia jopa koko niiden eliniän ajan, tietoturvan hallinta ja riittävän tietoturvatason varmistaminen voi olla äärimmäisen haastavaa ja viedä resursseja muulta kehitystyöltä. Tehokkaimmiksi havaitsemani tietoturvan parannustekniikat, kuten tietoturvavaatimusten hallinta, automatisoitu laadunvarmistus sekä erilaiset tietoturvaan liittyvät katselmoinnit vaativat osaamista ja resursointia. Ohjelmistoyritykset, jotka tämän tekevät, saavat siitä kuitenkin merkittävän kilpailuedun, Rindell kertoo. 

Rindell pyrki tutkimuksessaan tuomaan tietoturvatekniikat saataville tehokkaasti ja tuottavasti osoittamalla tapoja yhdistää tietoturvatekniikat ja ohjelmistokehitysmenetelmät. Tavoitteena oli tehdä systemaattinen tietoturvatyö tutkimuksessa löytyneillä keinoilla taloudellisesti kannattavaksi kaiken kokoisille yrityksille ja hankkeille.

***

FM Kalle Rindell esittää väitöskirjansa ”Development of Secure Software: Rationale, Standards and Practices” julkisesti tarkastettavaksi Turun yliopistossa maanantaina 17.6.2019 klo 12 (Turun yliopisto, Agora, luentosali XXI, Turku).

Vastaväittäjänä toimii professori Pekka Abrahamsson (Jyväskylän yliopisto) ja kustoksena professori Ville Leppänen (Turun yliopisto). Tilaisuus on suomenkielinen. Väitöksen alana on ohjelmistotekniikka.

Väittelijän yhteystiedot: +4741387351, kalle.rindell@utu.fi

Luotu 14.06.2019 | Muokattu 14.06.2019