Ulkoministeriön tilaama auditointi

Ulkoministeriö tilasi riippumattoman arvion koodin laadusta

Cinia pyydettiin validoimaan ja katselmoimaan tietojärjestelmän teknistä laatua, kun ulkoministeriön uuden asiointisovelluksen käyttöönottopäivä lähestyi. Varmistimme, että toisen ohjelmistoyrityksen kehittämä ratkaisu täytti ministeriön tekniset vaatimukset muun muassa jatkokehitettävyydestä.

Korkean tietoturvan ja pitkän elinkaaren ohjelmistohankkeissa kolmannen osapuolen tekemä auditointi on rutiiniomainen, mutta tärkeä osa laadunvarmistusta ja tietoturvan vahvistamista.

Nopeaa asiantuntija-apua

Cinian ja ulkoministeriön yhteistyössä ei aikailtu: aloituspalaverista loppuraportin esittelyyn kesti vain kolme viikkoa. 

“Kävimme läpi lähdekoodin teknistä laatua, arvioimme ratkaisun kokonaisarkkitehtuuria ja varmistimme, että järjestelmän jatkokehitettävyys on hyvällä tasolla, eikä toimittajaloukkua muodostu”, Cinian ratkaisuarkkitehti Tommi Harakkamäki listaa.

“Koodin laatu on tärkeä tekijä ohjelmistoratkaisujen kokonaisturvallisuudessa. Tietoturvallisuus on tällaisessa arviointityössä aina fokuksessa, vaikka varsinainen tietoturvatestaus onkin vielä asia erikseen.”

Hyvää yhteistyötä järjestelmätoimittajan kanssa

Ratkaisuarkkitehdin lisäksi Cinian asiantuntijatiimissä työskenteli yksi frontend- ja yksi backend -asiantuntija. Aloitustyöpajan jälkeen tutustuimme kooditason dokumentaatioon ja haastattelimme järjestelmän kehittäjiä. Koodin laatua koeteltiin pistokokein sekä erilaisten työkalujen avulla. Auditoinnissa havainnoitiin muun muassa koodauskäytäntöjä, sovellukseen linkitettyjä kirjastoja sekä haavoittuvuuksia.

Tarkastelussa löytyi vain yksi vakava ja muutama pienempi tietoturvaan vaikuttava löydös. Havainnot käytiin läpi hyvässä yhteistyössä, ja järjestelmätoimittaja pystyi tekemään korjaukset nopeasti. Näin ulkoministeriö saattoi varmistua siitä, että sovellus oli vaatimusten mukainen.

“Yhteistyö oli sujuvaa ja tiukassa aikataulussa saatiin tehokkaasti toteutettua katselmointi, jonka turvin kriittinen sovellus voitiin julkaista”, kiittää tekninen projektipäällikkö Samuli Mustonen ulkoministeriöstä.

“Hyvä auditointi ei ole kyttäämistä ja pelkkien vikojen etsimistä. Parhaimmillaan se on kaikkia osapuolia kehittävää, eteenpäin vievää ja ratkaisukeskeistä. Yhteistyö sovellusta toteuttaneen ohjelmistoyrityksen kanssa oli hyvää, ja pystyimme aidosti tukemaan ja sparraamaan kehitystiimiä löydöksistä. He puolestaan pystyivät luottamaan meihin riippumattomana toimijana”, Harakkamäki kiittää.

Tutustu palveluihin:
Tietoturvalliset sovellukset
Joustavat neuvonantopalvelut