Lemonsoft tietoturva

In English

Lemonsoftin tietoturva

Lemonsoftilla on käytössä kansainvälisesti arvostetun ISO/IEC 27001:2022 standardin mukainen tietoturvallisuuden hallintajärjestelmä. Hallintajärjestelmän on sertifioinut (FI241203-173) KPMG 3.12.2024.

Tietoturvallisuuden hallintajärjestelmä kattaa kaikki ohjelmistotuotantoon, asiakasdatan käsittelyyn, ylläpitoon ja palveluiden hallintaan liittyvät toiminnot, joiden avulla varmistetaan palvelujen turvallisuus ja saatavuus. Soveltamisala kattaa lisäksi tietojen suojaamisen, henkilöstön tietoturvatietoisuuden, toimitilaturvallisuuden sekä kolmansien osapuolten, ja alihankkijoiden hallinnan, jotka ovat keskeisiä palvelun tietoturvallisuuden varmistamiseksi.

Lemonsoft ei itse kuulu NIS2 soveltamisalaan, mutta hallintajärjestelmässä on huomioitu kyberturvallisuusdirektiivin velvoitteet, jotta voimme palvella myös huoltovarmuuskriittisiä asiakkaitamme.

Hallintajärjestelmään sisältyy mm.

  • Jatkuvuudenhallinta
  • Riskienhallinta
  • Muutoshallinta
  • Haavoittuvuushallinta
  • Tietoturvapoikkeamien hallinta
  • Toimitusketjujen hallinta
  • Tiedonluokittelu
  • Toimitilaturvallisuus

Lemonsoftin tietosuojapolitiikka Lemonsoftin tietoturvapolitiikka

Lemonsoftin tietoturvatavoitteet

Tietoturvallisuuden hallintajärjestelmän avulla saavutamme asettamamme tietoturvatavoitteet, jotka ovat:

Tietoturvalla

  • varmistetaan Lemonsoftin liiketoiminnan jatkuvuus.
  • suojataan Lemonsoftin toiminnassa käsiteltäviä henkilötietoja sekä omat ja kumppaneiden liikesalaisuudet.

Hallintajärjestelmällä

  • varmistetaan asiakastyytyväisyys ja -vaatimusten täyttyminen tietoturvan osalta.
  • varmistetaan lainsäädännön velvoitteiden noudattaminen.
  • sisällytetään tietoturva osaksi Lemonsoftin toimintakulttuuria.

Tietoturvakoulutukset

Koko Lemonsoftin henkilöstölle pidetään säännöllisesti tietoturvakoulutuksia ja lisäksi tärkeimmille rooleille, kuten esimerkiksi sovelluskehittäjille, järjestetään räätälöityä koulutusta.

Koulutukset sisältävät mm.

  • Tietosuojan
  • Tiedonluokittelun
  • Jokaisen tietoturvaohjeet
  • Sosiaalisen hakkeroinnin
  • Haavoittuvuuksien hallinnan
  • Uhkamallinnuksen
  • Turvallisen kehittämisen periaatteet
  • Yleisimmät haavoittuvuudet (SQLi, XSS, IDOR, OWASP top 10)
  • Huijausten tunnistamisen ja estämisen

Jatkuvuudenhallinta

Lemonsoft on laatinut jakuvuudenhallinnan toimintaperiaatteen. Lisäksi jokaiselle tuotteelle on laadittu palvelukohtaiset jatkuvuussuunnitelmat. Suunnitelmat katselmoidaan, harjoitellaan ja testataan vuosikellon mukaisesti sekä erikseen sovitusti.

Jatkuvuussuunnitelmat sisältävät mm.

  • Roolit ja vastuut
  • Riskianalyysin
  • Kriittiset riippuvuussuhteet
  • Varautumisen häiriöihin ja keskeytyksiin
  • Vikasietoisuuden
  • Varmuuskopioinnin ja palautumisen
  • Suunnitelman harjoittelun ja testaamisen
  • Suunnitelman ylläpidon ja viestinnän

Lemonsoftin kybersuoja

Lemonsoftin kybersuojan suunnittelua ja toimeenpanoa ohjaa kybersuojan toimintaperiaate. Kybersuojan toimintaperiaatteen tarkoitus on aktiivisesti estää ja havaita Lemonsoftiin kohdistuvia kyberhyökkäyksiä sekä rajoittaa toteutuneiden hyökkäysten mahdollisia vaikutuksia. Kybersuojan suunnittelussa hyödynnetään Lemonsoftin APT13m04 uhkamallia, jota pidetään ajan tasalla erilaisten uhkatietolähteiden avulla. Kybersuojan toteutuksen yksityiskohdat ovat luottamuksellisia emmekä luovuta tietoja niistä ulkopuolisille.

Lemonsoftin kybersuojaa kehitetään jatkuvasti ja se rakentuu seuraavista osakokonaisuuksista:

  • Hyökkäyspinta-alan pienentäminen haavoittuvuushallinnalla ja koventamisella
  • Hyökkäysten varhainen havainnointi
  • Nopea ja mahdollisimman pitkälle automatisoitu reagointi
  • Realisoituneiden hyökkäysten vaikutusten rajaaminen ja toipuminen
  • Oikeustoimikelpoisen todistusaineiston tuottaminen ja yhteistyö viranomaisten kanssa

Käytössämme on sisäinen Bug Bounty -ohjelma, jonka avulla aktiivisesti etsimme haavoittuvuuksia infrastruktuuristamme ennen hyökkääjää. Teemme myös OSINT testejä sekä haavoittuvuusskannausta löytääksemme mahdollisia heikkouksia.

Lemonsoftilla on 24/7 häiriöhallinta sekä valvonta. Käytämme erilaisia teknologioita hyökkäysten ja hyökkäysyritysten havaitsemiseksi. Uhkanmetsästyksen avulla etsimme verkostamme jälkiä mahdollisesta hyökkääjästä. Lemonsoftilla on oma CSIRT ryhmä, joka harjoittelee säännöllisesti kyberhyökkäysten varalta erilaisilla purpleteaming ja redteaming harjoituksilla. Teemme tarvittaessa DFIR yhteistyötä ulkopuolisten toimittajien ja viranomaisten kanssa.

Tietokannoissa ja tiedostoissa hyödynnämme salaamista ja tietojen maskaamista, jolla estetään mahdollisesti vuotaneiden tietojen hyödyntäminen rikollisiin tarkoituksiin. Salaamisen ohella hyödynnämme erilaisia hunajatiedostoja, -tilejä, -koneita, -verkkoja ja -haavoittuvuuksia hyökkääjän harhauttamiseksi ja havaitsemiseksi.

Jatkuvuussuunnittelu ja palautumisen harjoittelu on dokumentoitua ja säännöllistä, jolla varmistamme toipumiskykymme erilaisista häiriöistä, kuten ransomware-hyökkäyksistä. Kuten vuoden 2023 ransomware-hyökkäyksen yhteydessä, emme neuvottele hyökkääjien kanssa, emme maksa lunnaita eikä meillä ole vakuutusta lunnaiden maksamiseksi.

Varmennetut lokimme keräävät tietoja hyökkääjästä. Teemme yhteistyötä Kyberturvallisuuskeskuksen kanssa, jonne ilmoitamme matalalla kynnyksellä havaitsemamme hyökkäysyritykset sekä hyökkäysten tunnisteet (indicators of copromise, IOC) edelleen muille viranomaisille jaettavaksi. Lataamme myös tarvittaessa epäilyttäviä tiedostoja Virus Totaliin tietoturvayhteisön analysoitavaksi samoin kuin myös erilaisia epäiltyjä kalastelusivustojen IP-osoitteita. Emme myöskään aseta mitään estoja uhkatietojen jakamisesta kansainvälisesti tai esimerkiksi NATO maille.

Tarvittaessa teemme rikosilmoituksen matalalla kynnyksellä ja siirrämme tutkintavastuun poliisille.

Tietoturvan kvartaaliraportit

Raportoimme kvartaaleittain Lemonsoftin tietotuvan nykytilan, kehitystoimet ja poikkeamat.

Raportti tarjoaa asiakkaillemme ajankohtaisen katsauksen tietoturvatoimiimme.

 

Tietoturvan kvartaaliraportti Q2/2025

Tässä on yhteenveto Lemonsoftin tietoturvan nykytilasta, kehitystoimista ja poikkeamahallinnasta huhti–kesäkuussa 2025. Raportti on suunnattu asiakkaille ja tarjoaa ajankohtaisen katsauksen tietoturvatoimiimme. 1. Hallintajärjestelmän tila ja riskien muutokset

Lemonsoftilla on käytössä ISO/IEC 27001:2022 -standardin mukainen tietoturvallisuuden hallintajärjestelmä, joka kattaa ohjelmistotuotannon, asiakasdatan käsittelyn ja palveluiden hallinnan. Järjestelmä on otettu käyttöön konsernin laajuisesti kesäkuussa 2024 ja se on sertifioitu joulukuussa 2024 KPMG:n toimesta.

Kvartaalin aikana:

  • Hallintajärjestelmää on ylläpidetty tietoturvan vuosikellon mukaisesti.
  • Riskitilannekuvan vuosipäivitys tehtiin tammikuussa ja tämän jälkeen riskiarviointeja käsitelty uhkamallinnuksen ja poikkeamanhallinnan kautta.
  • YT-menettelyn yhteydessä tietoturvaan kohdennettiin lisää 0,5 henkilötyövuotta, mikä vahvistaa hallintajärjestelmän ylläpidon jatkuvuutta ja resilienssiä.

Koulutus ja harjoitukset:

  • Tammi-huhtikuussa järjestettiin tietoturvakoulutuksia ja pidettiin vuosittaiset tietoturvakokeet, joissa saavutettiin asetetut suoritustavoitteet.
  • Toukokuussa toteutettiin Lemon CSIRTin harjoitus ja johdon jatkuvuusharjoitus.

2. Poikkeama- ja haavoittuvuushallinta

Merkittäviä tietoturvapoikkeamia ei ole tapahtunut.

  • Tyypillisin poikkeama on sähköpostilla tehty kalasteluyritys, joita Lemonsoftin työntekijät osaavat koulutuksen ansiosta tunnistaa ja raportoida hyvin.
  • Tietomurtoja tai tietovuotoa ei ole havaittu.

Maaliskuussa Lemonsoftin Kouvolan toimistoon kohdistui murtoyritys. Tekijät saatiin kiinni paikan päältä ja eikä toimistolta saatu varastettua mitään. Asiasta on tehty rikosilmoitus.

Käynnissä olevia toimenpiteitä:

  • Lemon Desktopin ulkopuolinen murtotestaus suoritettiin kevään aikana. Osa löydöksistä on jo korjattu, ja loput on viety kehitystyöhön.
  • Lemonsoftin häiriöhallinta toimii 24/7-valmiudessa ja Lemon CSIRT harjoittelee vuosikellon mukaisesti kyberuhkiin vastaamista.

3. Keskeiset kehitystoimet

Hallintajärjestelmän kehittäminen:

  • DAST-automaatiota testattiin opinnäytetyön yhteydessä ja testauksen automaation kehittämistä suunnitellaan havaintojen perusteella.
  • Tuotekohtaiset uhkatyöpajat käynnistettiin huhtikuussa ja niitä järjestetään jatkossa kolme kertaa vuodessa.
  • Kehitämme SIEM- ja XDR-teknologioiden automaatio-ominaisuuksia erillisessä kybersuojaprojektissa.

Varautuminen asiakkaiden kyberhyökkäystilanteisiin:

  • Asiakkaisiin liittyvissä tietoturvariskeissä on joissain tapauksissa rajoitettu asiakkaan käyttäjätilejä ennaltaehkäisevästi asiakkaan omasta pyynnöstä.

4. Yhteenveto

Lemonsoftin tietoturvan tila on vakaa ja hallittu. Kevään aikana on panostettu erityisesti koulutukseen, valmiusharjoitteluun sekä uhkamallinnukseen. Tietoturvan kehittäminen jatkuu suunnitellusti osana Lemonsoftin toimintakulttuuria ja ISO 27001 -hallintajärjestelmää.

Seuraava raportti julkaistaan Q3/2025 päättyessä.

Lemonsoftin tekninen tietoturva

Olemme laatineet oppaan, joka on tarkoitettu Lemonsoft-ohjelmia käyttävien yritysten tietohallinnolle.
Kerromme oppaassa, miten tekninen tietoturva on ohjelmissa toteutettu ja miten ennakoimme ja tunnistamme erilaisia tietosuojaan liittyviä uhkia.

Lataa opas

Tarvitsetko lisätietoja?

Ota yhteyttä, autamme mielellämme!

Pasi Hakkarainen

Tietoturvapäällikkö

pasi.hakkarainen@lemonsoft.fi

Janne Tammi

CTO

janne.tammi@lemonsoft.fi