Lemonsoft tietoturva

In english

Lemonsoftin tietoturva

Lemonsoftilla on käytössä kansainvälisesti arvostetun ISO/IEC 27001:2022 standardin mukainen tietoturvallisuuden hallintajärjestelmä. Hallintajärjestelmän on sertifioinut (FI241203-173) KPMG 3.12.2024.

Tietoturvallisuuden hallintajärjestelmä kattaa kaikki ohjelmistotuotantoon, asiakasdatan käsittelyyn, ylläpitoon ja palveluiden hallintaan liittyvät toiminnot, joiden avulla varmistetaan palvelujen turvallisuus ja saatavuus. Soveltamisala kattaa lisäksi tietojen suojaamisen, henkilöstön tietoturvatietoisuuden, toimitilaturvallisuuden sekä kolmansien osapuolten, ja alihankkijoiden hallinnan, jotka ovat keskeisiä palvelun tietoturvallisuuden varmistamiseksi.

Lemonsoft ei itse kuulu NIS2 soveltamisalaan, mutta hallintajärjestelmässä on huomioitu kyberturvallisuusdirektiivin velvoitteet, jotta voimme palvella myös huoltovarmuuskriittisiä asiakkaitamme.

Hallintajärjestelmään sisältyy mm.

  • Jatkuvuudenhallinta
  • Riskienhallinta
  • Muutoshallinta
  • Haavoittuvuushallinta
  • Tietoturvapoikkeamien hallinta
  • Toimitusketjujen hallinta
  • Tiedonluokittelu
  • Toimitilaturvallisuus

Lemonsoftin tietosuojapolitiikka Lemonsoftin tietoturvapolitiikka

Lemonsoftin tietoturvatavoitteet

Tietoturvallisuuden hallintajärjestelmän avulla saavutamme asettamamme tietoturvatavoitteet, jotka ovat:

Tietoturvalla

  • varmistetaan Lemonsoftin liiketoiminnan jatkuvuus.
  • suojataan Lemonsoftin toiminnassa käsiteltäviä henkilötietoja sekä omat ja kumppaneiden liikesalaisuudet.

Hallintajärjestelmällä

  • varmistetaan asiakastyytyväisyys ja -vaatimusten täyttyminen tietoturvan osalta.
  • varmistetaan lainsäädännön velvoitteiden noudattaminen.
  • sisällytetään tietoturva osaksi Lemonsoftin toimintakulttuuria.

Tietoturvakoulutukset

Koko Lemonsoftin henkilöstölle pidetään säännöllisesti tietoturvakoulutuksia ja lisäksi tärkeimmille rooleille, kuten esimerkiksi sovelluskehittäjille, järjestetään räätälöityä koulutusta.

Koulutukset sisältävät mm.

  • Tietosuojan
  • Tiedonluokittelun
  • Jokaisen tietoturvaohjeet
  • Sosiaalisen hakkeroinnin
  • Haavoittuvuuksien hallinnan
  • Uhkamallinnuksen
  • Turvallisen kehittämisen periaatteet
  • Yleisimmät haavoittuvuudet (SQLi, XSS, IDOR, OWASP top 10)
  • Huijausten tunnistamisen ja estämisen

Jatkuvuudenhallinta

Lemonsoft on laatinut jakuvuudenhallinnan toimintaperiaatteen. Lisäksi jokaiselle tuotteelle on laadittu palvelukohtaiset jatkuvuussuunnitelmat. Suunnitelmat katselmoidaan, harjoitellaan ja testataan vuosikellon mukaisesti sekä erikseen sovitusti.

Jatkuvuussuunnitelmat sisältävät mm.

  • Roolit ja vastuut
  • Riskianalyysin
  • Kriittiset riippuvuussuhteet
  • Varautumisen häiriöihin ja keskeytyksiin
  • Vikasietoisuuden
  • Varmuuskopioinnin ja palautumisen
  • Suunnitelman harjoittelun ja testaamisen
  • Suunnitelman ylläpidon ja viestinnän

Lemonsoftin kybersuoja

Lemonsoftin kybersuojan suunnittelua ja toimeenpanoa ohjaa kybersuojan toimintaperiaate. Kybersuojan toimintaperiaatteen tarkoitus on aktiivisesti estää ja havaita Lemonsoftiin kohdistuvia kyberhyökkäyksiä sekä rajoittaa toteutuneiden hyökkäysten mahdollisia vaikutuksia. Kybersuojan suunnittelussa hyödynnetään Lemonsoftin APT13m04 uhkamallia, jota pidetään ajan tasalla erilaisten uhkatietolähteiden avulla. Kybersuojan toteutuksen yksityiskohdat ovat luottamuksellisia emmekä luovuta tietoja niistä ulkopuolisille.

Lemonsoftin kybersuojaa kehitetään jatkuvasti ja se rakentuu seuraavista osakokonaisuuksista:

  • Hyökkäyspinta-alan pienentäminen haavoittuvuushallinnalla ja koventamisella
  • Hyökkäysten varhainen havainnointi
  • Nopea ja mahdollisimman pitkälle automatisoitu reagointi
  • Realisoituneiden hyökkäysten vaikutusten rajaaminen ja toipuminen
  • Oikeustoimikelpoisen todistusaineiston tuottaminen ja yhteistyö viranomaisten kanssa

Käytössämme on sisäinen Bug Bounty -ohjelma, jonka avulla aktiivisesti etsimme haavoittuvuuksia infrastruktuuristamme ennen hyökkääjää. Teemme myös OSINT testejä sekä haavoittuvuusskannausta löytääksemme mahdollisia heikkouksia.

Lemonsoftilla on 24/7 häiriöhallinta sekä valvonta. Käytämme erilaisia teknologioita hyökkäysten ja hyökkäysyritysten havaitsemiseksi. Uhkanmetsästyksen avulla etsimme verkostamme jälkiä mahdollisesta hyökkääjästä. Lemonsoftilla on oma CSIRT ryhmä, joka harjoittelee säännöllisesti kyberhyökkäysten varalta erilaisilla purpleteaming ja redteaming harjoituksilla. Teemme tarvittaessa DFIR yhteistyötä ulkopuolisten toimittajien ja viranomaisten kanssa.

Tietokannoissa ja tiedostoissa hyödynnämme salaamista ja tietojen maskaamista, jolla estetään mahdollisesti vuotaneiden tietojen hyödyntäminen rikollisiin tarkoituksiin. Salaamisen ohella hyödynnämme erilaisia hunajatiedostoja, -tilejä, -koneita, -verkkoja ja -haavoittuvuuksia hyökkääjän harhauttamiseksi ja havaitsemiseksi.

Jatkuvuussuunnittelu ja palautumisen harjoittelu on dokumentoitua ja säännöllistä, jolla varmistamme toipumiskykymme erilaisista häiriöistä, kuten ransomware-hyökkäyksistä. Kuten vuoden 2023 ransomware-hyökkäyksen yhteydessä, emme neuvottele hyökkääjien kanssa, emme maksa lunnaita eikä meillä ole vakuutusta lunnaiden maksamiseksi.

Varmennetut lokimme keräävät tietoja hyökkääjästä. Teemme yhteistyötä Kyberturvallisuuskeskuksen kanssa, jonne ilmoitamme matalalla kynnyksellä havaitsemamme hyökkäysyritykset sekä hyökkäysten tunnisteet (indicators of copromise, IOC) edelleen muille viranomaisille jaettavaksi. Lataamme myös tarvittaessa epäilyttäviä tiedostoja Virus Totaliin tietoturvayhteisön analysoitavaksi samoin kuin myös erilaisia epäiltyjä kalastelusivustojen IP-osoitteita. Emme myöskään aseta mitään estoja uhkatietojen jakamisesta kansainvälisesti tai esimerkiksi NATO maille.

Tarvittaessa teemme rikosilmoituksen matalalla kynnyksellä ja siirrämme tutkintavastuun poliisille.

Tarvitsetko lisätietoja?

Ota yhteyttä, autamme mielellämme!

Pasi Hakkarainen

Tietoturvapäällikkö

pasi.hakkarainen@lemonsoft.fi

Janne Tammi

CTO

janne.tammi@lemonsoft.fi