Onko absurdia ajatella, että palvelunestohyökkäys voisi olla positiivinen? Ei suinkaan. Silloin, kun on kyse harkitusta ja hyvin suunnitellusta harjoituksesta, jossa riskit on arvioitu, on kyse hyvinkin positiivisesta asiasta. Tärkeää on kuitenkin juuri harkinta ja riskien hallinta.
Referenssejä
Tietoturvan kehittäminen
Klikkaa kuvaa saadaksesi lisätietoa toimeksiannosta.
OmaSP
Toimeksiannossa autoimme asiakasta parantamaan tietoturvan organisoitumista, vaatimusten toteuttamista sekä it-riskienhallintaa luomalla erilaisia ketteriä ja käytännönläheisiä käytäntöjä, dokumenttipohjia ja vaatimuksia. Taustalla olivat erilaiset finanssialan kansalliset ja kansainväliset vaatimukset ja viitekehykset.
OmaSP kotisivuSuomen Lääkevarmennus
Toimeksiannossa autoimme Suomen Lääkevarmennusta tunnistamaan puutteita heiltä vaadittavasta jatkuvuussuunnittelun dokumenttikokonaisuudesta sekä löytämään oikea dokumentoinnin taso. Toimeksianto toteutettiin työpajana, jossa tutustuttiin etukäteen yrityksen dokumentaatioon.
Suomen lääkevarmennus kotisivuForssan verkkopalvelut
Toimeksiannossa toteutimme Forssan Verkkopalveluille tietoturva- ja tietosuojapolitiikan sekä riskirekisterin. Riskirekisteri luotiin työpajatyöskentelynä sekä tutustumalla yritykseen ja sen dokumentaatioon.
Forssan verkkopalvelut kotisivuISO 27001 ja ISMS
Spectral Engines
Spectral Engines reached its ISO 27001 and ISO 9001 certifications in April 2023. We participated in the project where our responsibility was to structure the ISO 27001 parts into an integrated management system. Our focus was to assist with the critical parts - scoping, ISO-manual, policies, standards, objectives, and risk management. Core business objectives - secure software development processes and cloud operations also received much attention. Finally, we performed the first internal audit and held a management review. The auditors found the implementation of the IMS to be very mature and comprehensive for a first audit.
Spectral Engines homepageMiradore
Olimme mukana viemässä Miradorea kohti ISO 27001 -standardoitua toimintaa ja sertifiointia vuoden 2022 aikana. Tuimme Miradorea tulkiten standardia ja auttaen sen sovittamisessa organisaatioon. Erityishuomiota projektissa kiinnitettiin ydinliiketoimintaan - tietoturvalliseen sovelluskehitykseen ja turvalliseen pilvijärjestelmien operointiin ja näiden toimintojen kuvaamisessa standardiin sopivalla tavalla. Riskienhallinnan osalta autoimme kokonaisuuden hahmottamisessa erilaisissa riskityöpajoissa.
Miradore kotisivuGofore
Gofore tavoitteli ISO27001 sertifikaattia vuoden 2020 aikana. Järjestimme asiakkaalle workshopin, jossa standardi ja toteutusprojekti käytiin läpi. Toteutusprojektissa autoimme standardin tulkinnassa ja toimimme matkan varrella innoittajina, sparraajina ja oikolukijoina. Paikoin tuotimme myös dokumentaatiota. Gofore saavutti ISO 27001 sertifikaatin joulukuussa 2020.
Gofore kotisivuElmo
Toimeksiannossa teimme asiakkaalle ISO 27001 mukaisen sisäisen auditoinnin ennen virallista uudelleensertifiointiauditointia. Auditointi toteutettiin hallinnollisena tarkastuksena dokumentaatioon tutustumalla, haastatteluilla ja toimitilakierroksena.
Elmo kotisivuSIEM, Splunk ja lokienhallinta
Klikkaa kuvaa saadaksesi lisätietoa toimeksiannosta.
Opetusalan Ammattijärjestö OAJ
Toimeksiannon tavoitteena oli tuottaa lokienhallintajärjestelmä, jonka avulla huolehditaan lain asettamista velvoitteista ja samalla tuotetaan tietoturvallisuuden tilannekuvaa. Projektissa suunniteltiin ja määriteltiin vaatimuusten mukainen lokienhallinnan kokonaisarkkitehtuuri. Suunnitelman perusteella toteutettiin klusteroitu ja kuormantasattu Splunk ympäristö. Kaikki asennukset ja peruskonfiguraatiot tehtiin automatisoituina.
Opetusalan Ammattijärjestö OAJ kotisivuTietoturvatestaus ja auditointi
Klikkaa kuvaa saadaksesi lisätietoa toimeksiannosta.
LähiTapiola
LähiTapiolalle suoritettiin tekninen tietoturvatestaus kattaen yhden LähiTapiolan toiminnon kriittisten asiakassovellusten tunkeutumistestauksen, sisäverkon skannauksen ja analysoinnin. Toimeksianto toteutettiin osana asiakkaan toteuttamaa due-diligence tarkistusta, jonka käyttötarkoitukseen myös raportointia sovellettiin.
LähiTapiolalle on tehty myös teknisiä tietoturvatarkistuksia muihin yksittäisiin sovelluksiin.
LähiTapiola kotisivuNordhealth
Toimeksiannoissa on vuoden aikana tarkistettu Nordhealthin erilaisten SaaS-pohjaisten sovellusten ja palveluiden teknistä tietoturvaa. Testatut sovellukset kattavat muun muassa eläinklinikoiden hallintajärjestelmä Provet Cloudin sekä terapeuteille suunnitellun potilastietojärjestelmä ja laskutusohjelma Diariumin. Tarkistuksen viitekehyksenä käytettiin OWASP ASVS tasoa 1 sekä OWASP top-10-kriteereitä. Erityistä huomiota kiinnitettiin henkilötietojen hallintaan ja käsittelyyn.
Nordhealth kotisivuSteveco
Toimeksiannossa suoritettiin tekninen tietoturvatestaus kymmenen eri sovelluksen kirjautumissivuihin ja niihin liittyviin teknisiin ratkaisuihin. Toimeksiannossa korostui hyvin heterogeeniset kirjautumisratkaisut sekä sitä kautta erilaiset sovellusten toteutustekniikat. Tarkistuksen viitekehyksenä käytettiin OWASP ASVS tasoa 1 sekä OWASP top-10-kriteereitä, soveltaen toimeksiannon erityispiirteisiin.
Steveco kotisivuKuntarahoitus
Kuntarahoituksen toimeksiannoissa tarkistetaan sekä yleisiä että vahvasti toimialakohtaisia sovelluksia. Sovellusten käyttäjiä ovat sekä Kuntarahoituksen asiakkaat että työntekijät. Toimeksiantojen lopputuloksia hyödynnetään sekä viranomaisvaatimusten toteuttamisessa, vaatimustenmukaisuuden varmistamisessa että yleisen tietoturvan hyvän tason ja tilannekuvan ylläpitämisessä.
Kuntarahoitus kotisivuQAutomate
Toimeksiannossa suoritettiin tekninen tietoturvatestaus robotiikkatuotteeseen (RPA) Dashboardiin. Toimeksiannossa korostui robotiikan eri osien keskinäinen kommunikaatio, konfiguraatiot sekä eri komponenttien integraatiot. Tarkistuksen viitekehyksenä käytettiin OWASP ASVS tasoa 1 sekä OWASP top-10 -kriteereitä.
QAutomate kotisivuMiradore
Miradorelle on tehty tietoturvan teknisiä tarkistuksia Miradoren MDM-tuotteen ja siihen liittyvien tukijärjestelmien tietoturvaan vuosittain. Tarkistukset kattaa sekä sovelluksen kirjautumisen, tilienhallinnan, MDM-toiminnot sekä näiden tietoliikenneyhteydet. Tarkistuksen viitekehyksenä käytetään OWASP ASVS tasoa 1 sekä OWASP top-10 -kriteereitä. Lisäksi on tehty yksittäisiä täsmätarkistuksia.
Miradore kotisivuAgendaHelsinki
Toimeksiannossa suoritetttiin tekninen tietoturvatestaus Agenda Go SaaS-palvelulle. Teknisen testauksen lisäksi toimeksiannossa hyödynnettiin lähdekoodia tietoturvan arvioinnissa. Tarkistuksen viitekehyksenä käytettiin OWASP ASVS tasoa 1 sekä OWASP top-10 -kriteereitä.
AgendaHelsinki kotisivuTähtitieteellinen yhdistys URSA
Toimeksiannossa suoritettiin tekninen tietoturvatestaus asiakkaan WordPress-pohjaisen verkkokauppaan ja sen sisältämiin loppuasiakkaan sekä pääkäyttäjien toimintoihin. Toimeksiannossa tarkistettiin myös WordPress laajennusosia ja niihin liittyvää lähdekoodia. Tarkistuksen viitekehyksenä käytettiin OWASP ASVS tasoa 1 sekä OWASP top-10 -kriteereitä.
URSA kotisivueTaika
Toimeksiannossa suoritettiin tekninen tietoturvatestaus eTaika-palvelulle. Toimeksiannon tarkoitus oli varmistua palvelun tietoturvallisuudesta erityisesti erilaisten valtuushallinnan uhkamallien kautta. Tarkistuksen viitekehyksenä käytettiin OWASP ASVS tasoa 1 sekä OWASP top-10 -kriteereitä. Toimeksiannon osana suoritettiin myös koodin staattinen analyysi.
eTaika kotisivuCambri.io
Toimeksiannossa suoritettiin tekninen tietoturvatestaus Cambrio.io -palvelulle. Toimeksiannon tarkoitus oli varmistaa asiakkaiden syöttämien tietojen luottamuksellisuus, Cambri.io -palvelun algoritmien suojaaminen sekä palvelun tekoälyn tuottamien rikastettujen tietojen suojaaminen. Tarkistuksen viitekehyksenä käytettiin OWASP ASVS tasoa 1 sekä OWASP top-10 -kriteereitä.
Cambri.io kotisivuDDoS
Klikkaa kuvaa saadaksesi lisätietoa toimeksiannosta.
LähiTapiola
The objectives of the exercise were to understand the impact of non-volumetric attacks in the grand scale, ensure visibility of the attacks and effectiveness of alarms, ensure security of new API implementations and Azure functionality and find weaknesses in recovery processes.
LähiTapiola kotisivuVeracode
Klikkaa kuvaa saadaksesi lisätietoa toimeksiannosta.
LähiTapiola
LähiTapiola käyttää Veracoden SAST ja SCA tuotteita. Veracoden käytön tavoitteinta on ollut vahva shift-left - toteutustiimeille annetaan vastuuta, velvoitteita ja työkaluja tietoturvasta huolehtimiseen. Sovelluskehitys on pitkälti ulkoistettua ja tiimit ovat monikansalliset ja sovelluksia ja rajapintoja on kymmeniä. Veracoden avulla LähiTapiola voi asettaa mitattavissa olevia kriteereitä sovellusten tietoturvan laadun mittaamiseen.
LähiTapiola kotisivuHackday
Mint ja LähiTapiola Hackday 2020 – virtuaalisena
Mint Securityn tiimi osallistui kuudetta kertaa LähiTapiolan HackDay -tapahtumaan. Tällä kertaa se järjestettiin virtuaalisena.
Mint ja LähiTapiolan HackDay 2019
Mint Securityn tiimi osallistui viidettä kertaa LähiTapiolan HackDay -tapahtumaan. Mint toimittaa tapahtumaan raportointialustan joka koostuu wikipohjaisesta tiedotuskanavasta sekä havaintojen eli bugien raportointijärjestelmästä.
Mint ja LähiTapiolan HackDay
Mint Securityn tiimi osallistui neljättä kertaa LähiTapiolan HackDay -tapahtumaan. Mint toimittaa tapahtumaan raportointialustan joka koostuu wikipohjaisesta tiedotuskanavasta sekä havaintojen eli bugien raportointijärjestelmästä. Järjestelmän kautta hoidetaan HackDay:n juryn sekä tiimien välinen kommunikointi, annetaan tiimeille tehtäviä sekä suoritetaan tapahtuman aikainen liveraportointi sekä...
LähiTapiola SuomiAreena Hackday 2019
Mint Security osallistui LähiTaipiolan SuomiAreena Hackday tapahtumaan järjestäjänä ja koordinaattorina. Uutisessa on päivän tapahtuman tärkeimmät kuvat ja videot koostettu.
Thomas Malmberg
Security & IT-Risk Consultant (CRISC, CISA & CSSLP) (Founder & Owner)
Elina Partanen
Process and Risk Specialist (CRISC) (Owner)
Saku Tuominen
IT Security & Privacy Specialist (CISSP, CCSK & ISO27001 IA)
Jarmo Puttonen
Hacker (OSCE, OCSP)
Raimo Raski
Security & SIEM Consultant (CISA, eJPT)
Jari Jääskelä
Hacker
