Ads 468x60px

perjantai 19. syyskuuta 2014

FinFisher

Valtioiden harjoittamasta kybervakoilusta on keskusteltu jo vuosia: Wikileaks kertoi vuonna 2011 valtioiden käyttämistä järeistä vakoiluohjelmista, ja julkaisi tämän viikon maanantaina saksalaisen FinFisher-vakoiluohjelman tiedostot sivuillaan. FinFisherin avulla pystytään keräämään tietoja OS X, Windows ja Linux laitteilta. Haavoittuvia ovat myös Android, iOS, BlackBerry, Symbian ja Windows Mobile. Windows Phone vaikuttaa oleva ainoa käyttöjärjestelmä, jota ei voida FinFisherillä vakoilla.

Wikileaksin tietojen mukaan FinFisheriä käyttää lukuisten maiden tiedusteluviranomaiset mm. journalistien sekä poliittisten toisinajattelijoiden vakoilemiseen. Tukipyyntöjen ja niihin liittyvien dokumenttien avulla Wikileaks sanoo tunnistaneensa mm. Slovakian, Australian, Belgian, Alankomaat ja Italian FinFisherin asiakkaiksi. Myös Viro on Wikileaksin tietojen mukaan käyttänyt FinFisheriin noin 3,4 miljoonaa euroa. Wikileaksin arvioiden mukaan FinFisherin yhteenlaskettu myynti on ylittänyt 50 miljoonaa euroa.

Wikileaksin sivuilta löytyvät tiedon keräämiseen, lähettämiseen sekä tallentamiseen vaadittavat ohjelmistokomponentit. Sivuilta löytyy myös FinFisher FinSpy PC –ohjelmisto, joka on Windowsille suunnattu versio ja jonka avulla kuka vain voi seurata koneen tietoliikennettä sekä nauhoittaa ääntä ja videota koneen web-kamera kautta.

Vaikka FinFisher nyt on kaikkien saatavilla, sen tavalliselle käyttäjälle muodostama uhka on varsin pieni, kunhan tietokoneen järjestelmä- ja viruspäivitykset pidetään ajan tasalla. Esimerkiksi F-Securen Mikko Hyppönen ilmoitti jo tiistaina, että F-Securen virustorjuntaohjelma tunnistaa FinFisherin. Toisaalta virustorjuntaohjelmistot pystyvät vasta nyt tunnistamaan FinFisherin, vaikka on jo vuosia ollut tiedossa, että valtiolliset toimijat vakoilevat kansalaisiaan vakoiluohjelmien avulla.

Mitä tämä tarkoittaa suomalaisen yrityksen kannalta? Ehkä merkittävin muistutus on, että perinteinen virustentorjunta yksinään on kohtalaisen kyvytön suojaamaan yrityksiä tämän kaltaisia hyökkäyksiä vastaan. Kerroksittainen suojautuminen ja yrityksen oma havainnointikyky ovat merkittävimpiä tekijöitä hyökkäyksiltä suojautumisessa. Havainnointikyky koostetaan tietoturvallisesta verkon ja infrastruktuurin arkkitehtuurista, jota suojaavat esimerkiksi palomuurit, IDS/IPS järjestelmät, liikenneanalysaattorit ja lokijärjestelmät, joilla tietoliikenteen ja tapahtumien profiilia voidaan analysoida. Näin havaitaan ympäristön normeista poikkeavat tapahtumat ja voidaan reagoida niihin. Tällöin vastaavien ohjelmien leviäminen verkon kriittisiin osiin voidaan estää tai mahdollisen saastumisen jälkeen havaita se ennen kuin luottamuksellista asiakas- tai liiketoimintadataa pääsee vuotamaan ulkopuolisille.

-Alex / Jesse

keskiviikko 17. syyskuuta 2014

EU:n tietosuoja-asetus tulee - miten organisaation kannattaa valmistautua


Yleisen tietosuoja-asetuksen läpimeno ja voimaanastuminen ovat viivästyneet jo tuskallisen pitkään, ja vieläkään ei täyttä varmuutta asetuksen sitovuuden alkamisajankohdasta ole. Siksi aina rajallisilla resursseilla toimivat suomalaiset yritykset tuntuvatkin juuri nyt olevan odottavalla kannalla. Jotta vältytään turhalta työltä, kehitystoimet on toki viisasta käynnistää vasta sitten, kun asetus on saanut lopullisen muotonsa. On kuitenkin toimenpiteitä, jotka voidaan suorittaa jo nyt, jotta itse kehitystoimet voidaan aloittaa täydellä höyryllä sitten, kun asetuksen lopulliset vaatimukset ovat tiedossa - kuten tiedämme, kaksi vuotta on yrityselämässä lyhyt aika!

Tämä kirjoitus on ensimmäinen osa sarjasta, jonka otsikko voisi olla vaikka "Tietosuoja-asetus - vaatimustenmukaisuuden saavuttamisen lyhyt oppimäärä". Tarkoitukseni on näissä kirjelmissä käydä ylätasolla läpi sitä prosessia, joka useimmilla suomalaisilla rekisterinpitäjillä on edessään, jotta tulevat tietosuojavaatimukset pystytään taklaamaan. Organisaatioiden kypsyys vaihtelee, eikä kuvatut vaiheet ole universaalisti sovellettavissa kaikissa tilanteissa - pyrin kuitenkin antamaan osviittaa niihin asioihin, joihin kannattaa kiinnittää huomiota. Samalla totean disclaimerinä, että kuvaus on karkealla tasolla eikä kuvaa kaikkia tarvittavia toimenpiteitä tai huomioitavia seikkoja (edit 18.9.2014).

Prosessi voidaan jakaa esimerkiksi seuraaviin vaiheisiin:

1        Nykytilan selvitys
2        Gap-analyysi ja riskianalyysi
3        Toimenpiteiden priorisointi ja kehityssuunnitelman laatiminen
4        Kehityssuunnitelman jalkauttaminen
5        Hallintamallin operointi ja mittaaminen
6        Sisäisten ja ulkoisten arviointien teettäminen
7        Kehityssyklin toistaminen

Ennen aloittamista on syytä huolehtia siitä, että hankkeella on toimivan johdon siunaus ja sponsorointi. Mitä isompi projekti, sen tärkeämpää on, että taustatuki ja rahoitus ovat kunnossa. Raportoinnilla ja riskien näkyvällä hallinnalla on avainrooli johdon huomion herättämisessä ja ylläpitämisessä.


1        Nykytilan selvitys

Organisaation tietosuojatoimintojen kypsyys voidaan määritellä monen eri työkalun avulla. Monen suomalaisen rekisterinpitäjän tietosuojatyö on tähän asti perustunut henkilötietolain minimivaatimusten täyttämiseen, jolloin on selvää, että kypsyystaso ei ole riittävä tulevien vaatimusten täyttämiseksi.

Kehitystyö on suositeltavaa aloittaa selvityksellä tietosuojatoimintojen tilasta ja kypsyydestä nykyisellään. Työ kannattaa aloittaa jo nyt ja se tulee suorittaa mahdollisimman avoimesti ja objektiivisesti, jotta saadaan realistinen ja totuudenmukainen kuva puutteista ja tulevan kehitystyön kokoluokasta. Harkittava on myös, tulisiko selvityksen tekoon hankkia ulkopuolista, riippumatonta ammattiosaamista, mikäli tietosuojaosaaminen on harvojen käsissä tai on perusteltua epäillä selvityksen objektiivisuutta.

Nykytila-analyysissä selvitettäviä asioita ovat mm.:

·        Henkilötietojen rooli yrityksen liiketoiminnassa ja strategiassa
·        Henkilötietojen käsittelyn muodot, tavoitteet ja näiden suhde liiketoiminnan tavoitteisiin (edit 18.9.2014)
·        Tietosuojatyön johtaminen ja vastuutus
·        Tietosuojan hallintamallin kattavuus
·        Suunnitelmallisuus, politiikan ja ohjeistusten riittävyys
·        Henkilörekisterien, järjestelmien ja tietovirtojen kuvaaminen
·        Henkilötietojen käsittelyn periaatteet ja käytännöt
·        Tiedon elinkaaren hallinta
·        Tietosuojan ja tietoturvan kontrolliympäristö
·        Riskienhallinta
·        Henkilöstön koulutus
·        Henkilötietojen käsittelyn seuranta ja valvonta
·        Rekisteröityjen oikeuksien toteuttaminen
·        Kumppanuuksien hallinta
·        Siirrot EU:n ulkopuolelle (huom! erityisesti pilvipalvelut!)
·        Suoritetut arvioinnit ja toiminnan kehittäminen


2        Gap-analyysi ja riskianalyysi

Kun tietosuojatoimintojen nykytila on selvitetty, rinnalle otetaan tulevat tietosuojavaatimukset. Nykytilan ja tavoitetilan välinen ero on nk. gap, joka kertoo, miltä osin nykyisellään ei täytetä vaatimuksia ja miten isoja eroavaisuudet ovat. Puutteista aiheutuu aina riskejä; nämä tulee kirjoittaa auki sekä luokitella sen perusteella, kuinka todennäköisiä ja vaikutukseltaan vakavia ne ovat.

Riskiluokittelua voidaan käyttää myös priorisoinnin välineenä kehityssuunnitelmaa laadittaessa. Riskienhallinnan apuna voidaan käyttää esim. GRC-järjestelmiä, ja riskien arvostamiseen tulee vaikuttaa ainakin käsiteltävien henkilötietojen luonne, liiketoimintaympäristö, liiketoiminnan tavoitteet sekä organisaation riskinottohalukkuus.

Seuraavassa osiossa keskityn kehityssuunnitelman laatimiseen ja jalkauttamiseen, joten pysykää kuulolla!


torstai 11. syyskuuta 2014

Suomen ensimmäiset kyberturvallisuusmessut

Jyväskylässä järjestettiin Suomen ensimmäiset Kyberturvallisuusmessut 3.-5.9.2014. Messut järjestettiin jo aikaisemmilta vuosilta tuttujen Tekniikka- ja Turvallisuusmessujen yhteydessä. Tämä oli varmasti hyvä ratkaisu, ja valtaosa messukävijöistä kiersikin kaikilla kolmella alueella. Kyberturvallisuuden ammattilaisten lisäksi monet ensisijaisesti Tekniikka- ja Turvallisuusmessuilla käyneet kävivät myös päivittämässä tietoisuuttaan Kyberturvallisuusmessujen puolella. Tätä kautta varmasti välittyi hyvä kuva alan tuoreimmista tuulahduksista niillekin, jotka eivät päivittäin työskentele tietoturvan parissa.

KPMG oli messuilla mukana omalla ständillään, paikalla oli sekä tietoturva-asiantuntijamme että Jyväskylän toimistomme edustajat. Pidimme myös päivittäin tietoiskuja, jotka herättivät ilahduttavasti kuulijoiden mielenkiintoa ja kysymyksiä. Keskustelu jatkui myös Twitterin puolella hashtagilla #kyberturvallisuus.

Näytteilleasettajia oli paikalla iso joukko, ja koko viikko täyttyi mielenkiintoisista seminaareista ja tietoiskuista (joita näytteilleasettajana pääsimme harmillisen vähän seuraamaan). Parhaiten messutunnelmat välittynevät kuvien avulla:

Petteri
Petteri haastateltavana
JYVSECTECin ympäristön esittely kiinnosti yleisöä
Tietoiskumme aihe liittyi ajankohtaiseen teemaan eli automaation tietoturvaan:
Tietoiskuesitys automaation tietoturvasta
Esityksessä kerroimme käytännön kokemuksia tekemistämme automaation tietoturvan tarkastuksista, punaisena lankana oli oikeanlaisen arkkitehtuurin tärkeys. Automaatiojärjestelmien tietoturvan kehittämiseen liittyy monia muitakin ongelmakohtia. Niiden riskejä voidaan kuitenkin pienentää oikeinlaisella arkkitehtuurilla. Vastaavasti niiden riskit ovat entistä suurempia, mikäli arkkitehtuuri ei ole tietoturvallinen. Mikäli et ollut paikalla tai päässyt kuulemaan esitystä, mutta aihe on kiinnostava, niin ota yhteyttä ja kerromme mielellämme miten KPMG voi asiassa auttaa.

Esityksen suosituimmaksi kohdaksi tuntui muodostuneen riskienhallinnan tärkeys:
"Niin epämiellyttävää ja tylsä kuin riskienhallinta voikin olla...
 ... on se yleensä helpompaa, halvempaa ja tuskattomampaa kuin kriisinhallinta."


Aihe oli selkeästi esillä myös muilla näytteilleasettajilla, sekä Kyberturvallisuusmessujen puolella, että myös Tekniikka-messuilla. Ohessa muutamia poimintoja:

SARLIN esittelee automaation tietoturvan ratkaisuja ständillään

Turvallisia etäyhteysratkaisuja mm. automaatiokäyttöön esitteli Ajeco

Virallista messutiedotetta lainataksemme tilaisuus oli mielestämme varsin onnistunut:

"Perjantaina Jyväskylän Paviljongissa päättyneet Tekniikka 2014-, Turvallisuus 2014- ja Kyberturvallisuus 2014 -messut onnistuivat erinomaisesti. Automaatio-, tuotantoteknologia- ja turvallisuusalan ammattimessuilla vieraili reilut 10 000 kävijää. Jyväskylän Messut Oy:n toimitusjohtaja Leo Potkonen on tyytyväinen lopputulokseen.

'Paikalla käyneet ammattilaiset arvostivat uutta messukokonaisuutta. Erityisen tyytyväinen olen tämän vuoden uutuutemme, Kyberturvallisuus-messujen, saamaan suosioon. Kyberturvallisuusosio ylitti kaikki odotuksemme, sillä Jyväskylään oli rakentunut kokonainen kyberturvallisuusviikko. Olen iloinen, että olemme tällä tapahtumalla voineet tukea Jyväskylän työtä Innovatiiviset kaupungit -ohjelman kyberturvallisuusosion valtakunnallisena veturina', Potkonen sanoo."

Tunnelmia videolla:



Suuret kiitokset kaikille kävijöille sekä messujärjestäjille ja näytteilleasettajille. Nähdään seuraavilla Kyberturvallisuusmessuilla!

Ständillämme järjestetyn arvonnan voittajaksi valikoitui Puolustusvoimien palvelukeskuksen Jaakko Nuuja, onnittelut voittajalle ja kiitokset kaikille osallistuneille!

Risto ja Petteri

maanantai 8. syyskuuta 2014

Viestintäviraston kiintolevyjen ylikirjoitusohjeistus – nyt myös SSD:lle!

Viestintävirasto julkaisi äskettäin päivitetyn kiintolevyjen ylikirjoitusohjeistuksen, joka sisältää nyt myös ohjeistuksen SSD-kiintolevyjen käsittelyyn.

Tiivistetysti SSD-levyjen ylikirjoitus tapahtuu seuraavasti:
1. Koko SSD-kiintolevyn käyttäjälle näkyvän kapasiteetin ylikirjoitus
pakkautumattomalla (pseudosatunnaisella) datalla vähintään kaksinkertaisesti
2. Vaiheessa 1 tehdyn ylikirjoituksen onnistumisen todentaminen
3. SSD-kiintolevyn laiteohjelmiston (firmware) ylikirjoituskomennon
tai -komentojen suoritus (ATA secure erase, enhanced secure erase tai vastaavat)
4. Vaiheessa 3 tehdyn ylikirjoituksen onnistumisen todentaminen

Mikäli yksikin edellä mainituista vaiheista ei onnistu, niin levy tulee tuhota fyysisesti.

Ylikirjoitukseen tulee käyttää kansallisen turvallisuusviranomaisen tai kahden EU-maan turvallisuusviranomaisen hyväksymää ylikirjoitusohjelmistoa. Hyväksyttyjä ohjelmistoja voi etsiä esimerkiksi täältä, valitsemalla Category-kohdasta ”Disk Erasure” ja maaksi ”Finland”.

Demagnetoinnin tehokkuutta SSD-kiintolevyjen tietojen tuhoamisessa ei ole pystytty varmistamaan, joten sitä ei tule käyttää. 

Yhdistelmäkiintolevyjen ylikirjoitusmenetelmien tehokkuutta ei ole myöskään vielä pystytty todentamaan, joten ne tulee tuhota niin ikään fyysisesti.

Tavallisille magneettikiintolevyille tulee suorittaa kolminkertainen ylikirjoitus sekä ylikirjoituksen todennus.  Tyhjentämisessä tulee muistaa, että tyhjennysmenettelyn tulee olla hyväksytty kyseiselle kiintolevytyypille. Näin ollen SSD-levyjen tyhjentämiseen käytettävää menettelyä ei saa käyttää magneettisille kiintolevyille ja päinvastoin ellei menettelyä ole erikseen hyväksytty. Samoin tulee varmistaa tyhjennysohjelmiston valmistajalta, että haluttu SSD-levy on tyhjennysohjelman tuettujen levyjen listalla.

Suojaustason III ja IV tietoa sisältävien kiintolevyjen ylikirjoituksen voidaan toteuttaa myös ulkoistuskumppanilla, mutta suojaustasojen I ja II tietoa sisältävien kiintolevyjen ylikirjoitus tulee tapahtua organisaation sisällä. 

Organisaatioiden tulee myös ylläpitää ylikirjoitusrekisteriä, josta käy ilmi mm. ylikirjoitetun kiintolevyn sarjanumero, luokittelu, vastuuhenkilö, aika ja paikka, ylikirjoituksen todistaja sekä uudelleenkäyttökohde ja sen luokitus.

maanantai 1. syyskuuta 2014

Organisaation sisäinen uhka

Sisäinen väärinkäyttö mielletään usein taloudellista alaa, mm. pankkeja, koskevaksi ongelmaksi, mutta todellisuudessa se koskee kaikkia aloja, aina valtionhallinnosta kaivosteollisuuteen. Sisäiset väärinkäytökset, joko tahalliset tai tahattomat, aiheuttavat arvioiden mukaan maailmanlaajuisesti $2,9 miljardin tappiot vuosittain.  Tietoturvayritys Spectorsoft toteutti äskettäin organisaation sisäisiä väärinkäytöksiä koskevan kyselyn, johon vastasi 355 IT- tai tietoturva-asiantuntijaa eri puolilta maailmaa.

35% vastaajista kertoi joutuneensa sisäisen väärinkäytöksen, kuten petoksen, tietomurron tai immateriaalioikeuksien menetysten, uhriksi. Luultavasti määrä on kuitenkin suurempi, sillä arvioiden mukaan noin 75% väärinkäytöksistä jää tunnistamatta. Noin 60% vastaajista arvioi, ettei pysty tunnistamaan tai torjumaan sisäistä väärinkäyttöä.

Tutkimuksen mukaan kiinnijäämisen todennäköisyydellä on suurempi vaikutus kuin rangaistuksen ankaruudella, joten selvien sääntöjen luominen ja niistä tiedottaminen on tärkeää. Käytännössä tämä tarkoittaa sitä, että luodaan loppukäyttäjien käyttösäännöt (Acceptable Use Policy) ja koulutetaan käyttäjät niiden mukaisesti.

Väärinkäytösten tapahtuessa on tärkeää pystyä keräämään tapahtumasta mahdollisimman paljon tietoa. Tämä tapahtuu käyttämällä erinäisiä teknisiä järjestelmiä, jotka valvovat organisaation tietoliikennettä ja laitteita. Näin pystytään rajoittamaan tuhoja, sekä ehkäisemään väärinkäytöksen toistuminen.

Mahdollisten väärinkäytösten riskiä tulisi myös vähentää suorittamalla henkilökunnan taustatarkistuksia sekä välttämällä vaarallisia työyhdistelmiä. Tärkeimpien prosessien suorittamisessa voidaan käyttää ns. ”neljän silmän periaatetta”. Kannattaa myös käyttää teknisiä keinoja väärinkäytösten ehkäisyyn, kuten järjestelmäkontrolleja. Esimerkiksi laskun luomiseen ja hyväksymiseen voi vaatia kahden eri henkilön hyväksynnän.

Sisäisten väärinkäytösten osuus (n.30%) kaikista kyberrikoksista on pysynyt samana jo vuodesta 2004, joten helpotusta tähän ongelmaan ei luultavasti ole näköpiirissä.



Tutkimuksesta voi lukea lisää osoitteesta:

keskiviikko 27. elokuuta 2014

Unknown Threats in Sweden

Julkistimme tammikuussa Unknown threat in Finland -tutkimuksen tulokset. Vastaava tutkimus on nyt tehty Ruotsissa ja sen tulokset ovat vielä musertavampia kuin Suomessa. Tutkimuksen mukaan 93% tutkimukseen osallistuneista organisaatioista oli murrettu ja 79% organisaatioista tietoa vuoti ulos. Tutkimuksen tulokset osoittavat kyllä melko selkeästi sen, että tänä päivänä organisaatioiden tulee lähteä siitä ajatuksesta, että murtautujat ovat jo murtautuneet organisaation sisäverkkoon. Tällöin tärkeänä tehtävänä on havaita tunkeutuminen ja estää tunkeutujaa tekemästä enempää haittaa.

Tutkimuksen raportti on ladattavissa osoitteesta http://www.kpmg.com/SE/sv/kunskap-utbildning/nyheter-publikationer/Publikationer-2014/Sidor/UnknownthreatsinSweden.aspx

Tammikuussa tekemämme Suomea koskevan tutkimuksen raportti on ladattavissa osoitteesta http://www.kpmg.com/fi/fi/ajankohtaista/uutisia-ja-julkaisuja/neuvontapalvelut/sivut/unknown-threat-in-finland.aspx


tiistai 26. elokuuta 2014

ASVS 2.0 - Sovellusturvallisuuden arviointistandardin uusi versio


Monelle lukijalle OWASP Top 10 -lista on varmasti tuttu, eli kyseessä on listaus kymmenestä vakavimmiksi arvioidusta sovellusten tietoturvahaavoittuvuudesta. Näihin lukeutuu muun muassa SQL-injektiohaavoittuvuudet, XSS-haavoittuvuudet ja heikko sessionhallinta. 

Sen sijaan OWASP:in Application Security Verification Standard (ASVS) saattaa olla vähemmän tunnettu. Se on erittäin käyttökelpoinen standardi, jonka tavoitteena on toimia avoimena sovellusturvallisuuden tarkastamisen työkaluna. ASVS-standardi määrittelee joukon teknisiä kontrolleja, joilla pyritään löytämään sovelluksessa olevat tietoturvahaavoittuvuudet, mukaan lukien Top 10 -listan haavoittuvuudet. Standardia voidaan käyttää osana sovellusturvallisuuden testauksen prosesseja.  

Ensimmäisen ASVS-standardin julkaisemisesta on kulunut jo viisi vuotta, ja elokuussa 2014 OWASP julkaisi siitä uuden version ASVS 2.0:n. Syitä uuden standardin luomiseen oli useita, ja yksi tärkeimmistä liittyi siihen, että tavoitteena oli keskittyä miten-kysymysten sijaan enemmän siihen mitä tulisi tehdä. Uudessa versiossa ei siis puhuta enää dynaamisesta skannaamisesta, staattisesta analyysista eikä uhkamallinnuksesta.

Mitä konkreettisia muutoksia uudessa ASVS-standardissa sitten on edelliseen verrattuna? Uusi ASVS-standardi määrittelee kolme sovellusturvallisuuden verifiointitasoa, jotka ovat: 

Taso 1: Opportunistinen (Opportunistic),  
Taso 2: Standardi (Standard) ja
Taso 3: Syventävä (Advanced). 

Opportunistinen taso on määritellyistä verifiointitasoista kevyin, ja se soveltuu tyypillisesti tilanteisiin, joissa haetaan jonkinlaista luottamusta sovelluksen turvallisuudesta ja tietoturvakontrollien oikeaoppisesta käytöstä. 

Standarditaso menee jo huomattavasti pidemmälle, ja tämä taso pitää sisällään myös liiketoimintalogiikkaa koskevat ja Top 10 -listan kontrollit. Taso sopii tyypillisesti sovelluksille, jotka suorittavat esimerkiksi liiketoimintakriittisiä toimintoja tai käsittelevät arkaluontoista dataa. 

Syventävän tason mukainen tarkastus sopii erityisen kriittisiin sovelluksiin, jotka liittyvät esimerkiksi yleiseen turvallisuuteen, kriittiseen infrastruktuuriin tai jotka voivat aiheuttaa organisaatiolle huomattavaa vahinkoa.

ASVS-standardissa kontrollit on jaoteltu luokkiin. Myös luokittelua on muutettu edellisestä versiosta. Standardin uudessa versiossa osa luokista on poistunut, ja niiden sisältämiä kontrolleja on upotettu muihin jo olemassa oleviin luokkiin. Lisäksi uuteen standardiin on tullut kolme uutta luokkaa, jotka ovat liiketoimintalogiikka, tiedostot ja resurssit sekä mobiililaitteet. Näiden sisältämät kontrollit pyrkivät vastaamaan muuttuneeseen toimintaympäristöön ja sen tuomiin haasteisiin. Kaiken kaikkiaan standardin rakenne on muuttunut selkeämmäksi, ja sitä voidaan suositella käytettävän osana sovellusturvallisuuden testauksen prosesseja.