Collapick ja Bittiguru – Yhteistyöllä taattua tietoturvaa

Tietoturva/ Julkaistu 28.10.2024
Asiantuntijat Petteri Torssonen ja Janne Mustonen
Lukuaika 8 min

Tietoturva on nykypäivän liiketoimintamaailmassa keskeinen huolenaihe, erityisesti kun otetaan huomioon yritysten kasvava riippuvuus digitaalisista järjestelmistä. ERP-järjestelmät (Enterprise Resource Planning) ovat syvällä organisaatioiden ytimessä, halliten kaikkia tärkeitä toimintoja, kuten varastonhallintaa, tuotantoa, henkilöstöhallintoa ja asiakkuudenhallintaa. Näin ollen on ensisijaisen tärkeää, että ERP-toimittajat ja yhteistyökumppanit huolehtivat tietoturvasta asianmukaisesti. Mitä vahvemmin yrityksen liiketoiminta on digitaalista, sitä houkuttelevampi se on verkkorikollisille.

Tässä artikkelissa tarkastelemme Collapickin tietoturvatoimenpiteitä, joiden avulla varmistamme asiakkaidemme toiminnan jatkuvuuden järjestelmän osalta. Virtuaalipalvelinkapasitettia Collapickille tarjoava Bittiguru on pitkäaikainen kumppanimme, jonka asiantuntemukseen luotamme niin teknisissä ratkaisuissa kuin tietoturvaosaamisessa. Yhteistyöstä ja asiakkaiden turvaamisesta kertovat Collapickin teknologiajohtaja Petteri Torssonen ja Bittigurun teknologiajohtaja Janne Mustonen.

Itäsuomalainen It-alan moniosaaja Bittiguru: konesaleista tietoturvaan

Bittiguru on itäsuomalainen IT-alan moniottelija, joka palvelee 8 asiantuntijan voimin noin 600 yritysasiakasta ympäri Suomen. Yritys tarjoaa pilvi- ja tukipalveluita, laitteita työasemista palvelimiin ja erilaisiin verkkolaitteisiin, sekä virtualisointia ja konesalitilaa. Yrityksen tavoitteena on tarjota pk-yrityksille ratkaisuja, joista monet ovat aiemmin olleet vain suurten organisaatioiden saatavilla.

Yrityksellä on takanaan yli kymmenvuotinen ura, sillä se perustettiin vuoden 2012 loppupuolella. Tietoturva- ja IT-osaaminen juontaa juurensa kuitenkin jo 1990 luvulle, yritystoiminnan alkulähteille. ”Matkan varrella olemme uudistuneet monesti. Vuonna 2012 konesaliliiketoiminta oli nouseva trendi, ja viimeisen vuoden aikana olemme tehneet töitä sen eteen, että Bittiguru olisi tunnettu ja tunnistettavissa tietoturvan asiantuntijaporukkana” Mustonen summaa.

Bittigurun uusi tietoturvaan keskittynyt tuoteperhe kantaa nimeä BG Defender, ja se auttaa tietoturvan kanssa painivia yrityksiä. Voit lukea tuotteesta enemmän edellisestä tietoturva-artikkelistamme: Tietoturva UKK – Collapickin ja Bittigurun asiantuntijavinkit yrityksesi turvaamiseen

Yhteistyön perustana kotimainen virtuaalipalvelinkapasiteetti sekä Bittigurun asiantuntijapalvelu

Collapick ja Bittiguru ovat tehneet yhteistyötä vuodesta 2014 lähtien. Yhteistyön perustana on Bittigurun tuottama palvelinkapasiteetti, jonka päälle Collapick on rakentanut omat palvelunsa. Keskeistä yhteistyössä on, että Bittigurulla on oma palvelinlaitteisto, sekä konesali Outokummussa. ” Tiedämme, missä data sijaitsee – Bittigurun omistamissa tiloissa. Se ei ole missään julkipilvessä tai ulkomailla. Meillä on kokonaisvaltainen hallinta ympäristöstä, joten tiedämme esimerkiksi, ketkä tiloissa vierailevat. Tämä mahdollistaa paremman tietoturvan” Mustonen toteaa.

Collapickin ja Bittigurun yhteistyö on poikkeuksellista, sillä yleensä konesalit tarjoavat paitsi kapasiteettia, myös Bittigurun osaamista ja työpanosta. Tavallisesti asiakas tarvitsee järjestelmälleen kapasiteetin lisäksi erilaisia palvelinratkaisuja tiedostopalvelimista tunnistautumispalvelimiin, palvelimen ylläpitoa ja käyttäjien hallinnointia. ”Esimerkiksi kolmannen osapuolen kassajärjestelmissä Bittiguru huolehtii riittävästä kapasiteetista ja tietoturvasta, minkä päälle kassajärjestelmän toimittaja rakentaa oman sovelluksensa. Bittiguru ei tarjoa sovelluskehitystä, vaan keskittyy infrastruktuurin, kuten verkkojen, palomuurien, niihin liittyvien salaustekniikoiden rakentamiseen, sekä toimipisteiden yhdistämiseen konesalin yhteyteen. Lisäarvomme tulee juuri jatkuvasta ylläpidosta ja asiantuntemuksesta. Jos olisimme pelkkä konesalikapasiteetin toimittaja, tarjoaisimme vain portaalin, josta asiakkaat voisivat aktivoida uuden virtuaalikoneen ja maksaa laskunsa. Pelkkää raakaa kapasiteettia tarjoavat esimerkiksi Microsoft Azure sekä Amazon AWS” Mustonen kiteyttää.

Torssosen mukaan liiketoiminnan luonne on sellainen, ettei Collapick voi ostaa kokonaan ulkoistettua palvelinylläpitoa. “Se tarkoittaisi sitä, että jokaisen asiakaspäivityksen tai muutospyynnön yhteydessä meidän pitäisi ottaa yhteyttä palvelinkumppaniimme. Haluamme ylläpitää palveluitamme itse, jotta voimme reagoida asiakaspyyntöihin nopeasti, varmistaa palveluiden korkean laadun sekä järjestelmän luotettavan toimivuuden. Kuten muussakin toiminnassamme tarvitsemme moottorin, jota saa myös itse viritellä” Torssonen veistelee.

Lisäarvo Collapickin kaltaisille konesalikapasiteetin käyttäjille on nimenomaan Bittigurun tarjoama keskusteluapu. Mustosen mukaan Collapick ja Bittiguru tekevät tiivistä yhteistyötä tarjotakseen Collapickin asiakkaille teknisiä ratkaisuja ja ratkoakseen ongelmatilanteita. ”Emme ole vain kasvottomia toimijoita, sillä haluamme, että asiakkaamme hyödyntävät asiantuntemustamme. Collapickin asiakkailla on erilaisia tuotantoon liittyviä verkkoja ja laitteita, joiden integrointi Collapickin teknologiaan vaatii asiantuntemusta. Tunnemme verkkoteknologian, tiedämme mitä asiakkaan päässä voi tehdä ja mitä sinne tarvitaan – palomuureja, kytkimiä, tunneleita, tai miten data siirretään turvallisesti Collapickin palveluun”.

Collapickin teknologiajohtaja Petteri Torssonen korostaa yhteistyön merkitystä onnistuneen palvelun tarjoamisessa. ”Asiakkaamme arvostavat saavutettavuuttamme. Jos ratkaisumme olisivat Amazonissa tai Azuren palveluissa, emme saisi asiantuntijapalveluita yhtä nopeasti ja helposti. Uskon, että asiakkaammekin arvostavat tätä saavutettavuutta ja nopeaa reagointikykyä.”

Millaisilla toimenpiteillä Collapick ja Bittiguru varmistavat asiakasyritysten tietoturvan ja toimintavarmuuden?

Tietojen varmuuskopiointi ja palvelinten suojaus

Pilvipalveluiden kuten Collapick Tempo -Odoo ERP:n toiminta taataan pääsääntöisesti varmuuskopioinnin avulla. ”Konesalin näkökulmasta varmuuskopioinnin pääperiaate on, että tieto on tallennettuna kolmessa eri paikassa, jotta se on aina saatavilla vähintään yhdestä näistä paikoista. Collapickin kanssa toimimme siten, että varmuuskopiot otetaan ensin omaan konesaliimme. Kun tämä kopiointi on suoritettu, tieto replikoidaan fyysisesti erilliseen paikkaan. Tämän jälkeen Collapick tekee vielä oman varmistuksensa omaan sijaintiinsa. Näin tieto on tallennettuna kolmessa fyysisesti täysin erillisessä paikassa ja tilassa” Mustonen kuvaa. Tietojen kopiointiin ja säilytykseen on olemassa omat käytäntönsä, joita käsitellään tarkemmin palvelusopimuksissa.

Yleisesti pilvipalveluun tallennetut tiedot voivat sijaita palveluntarjoajasta riippuen yhdessä tai useammassa eri paikassa sekä yhdessä tai useamassa eri maassa. Collapick ostaa esimerkiksi kapasiteettia Bittigurulta, jolloin tietoja tallennetaan paikalliseen konesaliin.

Bittigurun tietoturvalliset palvelimet estävät valtaosan murtoyrityksistä. ”Laitteiden edessä on palomuuri ja osana tietoturvaamme hyödynnämme palomuurissa AbuseIPDB-tietokantaa, joka sisältää tiedossa olevia IP-osoitteita, joista hyökkäyksiä tehdään. Järjestelmä toimii automaattisesti siten, että AbuseIPDB:hen kytketyt järjestelmät lähettävät sinne tietoa hyökkäyksiä tekevistä IP-osoitteista. Otamme tietokannan Abusen kautta tunnin välein ja ajamme tiedot palomuureihimme. Näin meillä on jatkuvasti ajantasainen tieto kymmenistä tuhansista IP-osoitteista, joista hyökkäykset tyypillisesti tulevat, ja estämme nämä osoitteet jo ennen kuin ne pääsevät verkkoon” Mustonen selventää.

Torssosen mukaan Collapickilla skannataan tietoturvauhkia jatkuvasti. “Kehitysprosessiimme kuuluu tietynlaiset aputyökalut, jotka tekevät automaattista testausta. Sillä skannataan järjestelmässä olevia yleisiä tietoturvauhkia, ja tietoturvan tilasta saadaan päivittäiset raportit. Itse käytämme Vista Securea, jota voimme tarjota myös asiakkaillemme erikseen kuukausimaksulla. Seuraamme säännöllisesti myös kyberkeskuksen tietoturvasäätä, ohjelmistoalan blogeja, sekä sosiaalista mediaa, joista jokaisesta löytyy erilaisia tietoturvalöydöksiä. Lisäksi tiimissämme on henkilöitä, jotka keskittyvät tietoturvan tutkimiseen ja jakavat parhaita käytäntöjä ja tietoturvaan liittyvää tietoa aktiivisesti muille. Riskienhallinnan kannalta on tärkeää seurata globaaleja tapahtumia, avoimen lähdekoodin kehitystä ja Odoon tuotekehitystä. Näin voidaan pysyä ajan tasalla myös teknologiakehityksestä.”

Tietoturvapäivitykset sekä haavoittuvuuksien korjaukset

Torssosen mukaan tietoturvapäivityksiä ja tarkastuksia toteutetaan tietyllä syklillä liittyen palvelininfroihin. “Pyrimme päivittämään kriittiset päivitykset pikimmiten ja päivitämme palvelimia säännöllisesti. “

Mustosen mukaan Collapickin tietoturvatoteutuksen vahvuus on, että asiakasympäristöt on laitettu erillisiin kontteihin. “Se tarkoittaa sitä, että jokainen ympäristö on eristetty naapuriympäristöstä omaan pieneen pilttuuseen josta naapurikontin asioita ei pääse katsomaan. Teknisesti puhutaan tällaisesta docker-kontituksesta. Jokainen ympäristö on erillinen ja eristetty toisistaan, vaikka ne pyörivät samoissa palvelimissa ja fyysisissä laitteissa”. Torssosen mukaan jokainen pilttuu parantaa osittain tietoturvaa. “Olemme hajauttaneet asiakkaiden järjestelmäsijainteja eli asiakasympäristöjä myös siksi, että niitä voidaan päivittää limittäin. Silloin kaikkien asiakkaiden ympäristöt eivät myöskään ole alhaalla samaan aikaan, vaan voimme päivittää esimerkiksi vain yhden ympäristön”.

Collapick ja Bittiguru tekevät yhteistyötä säännöllisten palvelinpäivitysten ja haavoittuvuuksien korjausten osalta, sillä nämä toimenpiteet voivat aiheuttaa käyttökatkoksia järjestelmissä. “Kun kohtaamme esimerkiksi nollapäivähaavoittuvuuden, joka vaatii nopeaa reagointia, keskustelemme ensin siitä, miten korjaus saadaan toteutettua mahdollisimman nopeasti. Nollapäivähaavoittuvuus tarkoittaa haavoittuvuutta, joka ilmenee äkillisesti eikä siihen ole vielä saatavilla päivitystä. Vaikka koodiin ei olisi tehty muutoksia, joku voi löytää tällaisen haavoittuvuuden, joka leviää nopeasti julkisessa internetissä ja Tor-verkossa, jolloin hyökkääjät voivat hyödyntää sitä välittömästi” Mustonen kuvaa.

Mustosen mukaan palvelinpäivityksiä tehdään tarpeen mukaan, eikä pelkästään säännöllisesti. “Kaikki päivitykset eivät aina tuo lisäarvoa, ja voivat jopa avata uusia tietoturva-aukkoja. Päivityksiä tehdään vain todelliseen tarpeeseen, sillä joskus päivitykset voivat tuoda mukanaan uusia haavoittuvuuksia, joita ei aiemmin ollut”.

Collapick Tempo -Odoo ERP:ssä ei ole pakollisia versiopäivityksiä, vaikka Odoo julkaiseekin uuden version vuosittain. Versiopäivitykset keskittyvät pääasiassa järjestelmän ominaisuuksien muutoksiin, kun taas asiakkaillemme tärkeimmät toimialakohtaiset ominaisuudet pysyvät usein ennallaan. Tietoturva varmistetaan pienemmillä päivityksillä, joita tehdään tarpeen mukaan.

Käyttöoikeuksien hallinta, sekä vahva tietojen salaus ja suojaus

Kaksivaiheinen tunnistautuminen

Kaksivaiheinen tunnistautuminen voidaan jakaa Collapickilla yrityksen sisäiseen tunnistautumiseen ja asiakkaan käyttämään tunnistautumiseen. “Koodarimme hyödyntävät esimerkiksi kaksivaiheista tunnistautumista tietyissä sovelluksissa lisäturvana tietomurtojen estämiseksi, ja suosittelemme sen käyttöä myös asiakkaillemme. Esimerkiksi Google Authenticator on tällainen salasanan lisänä käytettävä erillinen tunnistustapa. Kaksivaiheisen tunnistautumisen käyttö on kuitenkin asiakaskohtaista – voimme kytkeä sen Odoosta päälle asiakkaan niin halutessa ” Torssonen täsmentää.

Muut tietojen salaus-ja suojaustoimenpiteet

Mustosen mukaan tietojen salausta voidaan järjestelmissä toteuttaa eri tasoilla. ”Se voidaan tehdä käyttöjärjestelmätasolla, mikä kuuluu enemmän Bittigurun osaamisalueeseen. Jos salaus jää ohjelmistotasolle, se on Collapickin kehittämä, ja heidän vastuullaan on toteuttaa salausmekanismi. Torssonen täydentää, että Collapick voi tarjota tietojen tai ympäristöjen salausta asiakaskohtaisesti, mutta luonnollisesti se tuo lisäkustannuksia.

Collapick Tempo sekä sen moottorina toimiva Odoo ovat molemmat pilvipalveluita, jolloin järjestelmän käyttö ei vaadi asiakkaalta erillisen ohjelmiston asentamista tai omia palvelimia. Järjestelmään kirjaudutaan selaimen kautta. Nykymaailmassa salatut verkkoyhteydet ovat standardi, joka suojaa verkon ylitse siirrettävää tietoa eli verkossa liikkumisen yksityisyyttä. Salatusta yhteydestä viestii selaimen osoiterivillä osoitteen edessä näkyvä HTTPS-teksti (ei HTTP-teksti), ja osoiterivillä tai sen vieressä näkyvä lukitun lukon kuva. “Mikäli koneellasi on haittaohjelma, ei salatulla yhteydellä ole mitään merkitystä” Torssonen muistuttaa.

Käyttöoikeuksien hallinta

Collapick huolehtii sekä omissa että asiakkaan ympäristöissä käyttäjäoikeuksien hallinnasta, sekä oikeuksien myöntämisestä työntekijän roolin mukaisesti. “Esimerkiksi salasanojen hallinnassa varmistamme, että pääsyä kriittisiin järjestelmiin ei ole muilla kuin siihen oikeutetuilla henkilöillä. Käyttöoikeuksia tarkastellaan säännöllisesti, ja eri tehtävissä oleville henkilöille myönnetään eritasoisia käyttöoikeuksia. Voimme myös hallita käyttöoikeuksia eri järjestelmissä, kuten lukita kadonneen yrityspuhelimen, sulkea tilejä (kuten sähköpostitilejä) tai kirjata käyttäjiä ulos järjestelmistä. Emme kuitenkaan vastaa laitehallinnasta asiakkaan puolesta, vaan se on asiakkaan vastuulla. Bittiguru tarjoaa mielellään tukea tällaisissa asioissa” Torssonen linjaa.

Perinteisen käyttäjäoikeuksien ja kaksivaiheisen tunnistautumisen lisäksi Collapick tarjoaa asiakkailleen Odoo audit -lisäpalvelua, joka kirjaa käyttäjien tekemät muutokset ja niiden historian lokitietoihin. “Erilaisilla auditointitoiminnoilla mahdollistetaan käyttäjäkohtainen seuranta. Esimerkiksi hinnastojen auditointi voi ilmoittaa jokaisesta järjestelmän hintamuutoksesta, minkä tuotteen hinta on muuttunut, kuka muutoksen on tehnyt, mikä on alkuperäinen ja mikä muutettu hinta ja milloin muutos on tehty” Torssonen selventää.

Kysyttävää Collapick Odoo ERP-järjestelmän tietoturvasta?

Ota yhteyttä teknologiajohtajaamme Petteri Torssoseen!

Tutustu Bittiguruun yrityksen sivuilta: https://www.bittiguru.fi/

Petteri Torssonen

Teknologiajohtaja, projektit

050 347 5122

petteri.torssonen@collapick.com

Soita

Palaa takaisin blogin etusivulle

info@collapick.com

044 989 1350