Digitoday

Valikko

Oman väen turvakurssitus unohtuu usein

Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.
Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.

Lahjo, pelottele, kiristä ja uhkaile. Tietoturvan kauppaamisessa ovat käytössä lähes samat asiat kuin kasvattamisessa. Tietoturvaa myydään maalaamalla mörköjä - viruksia ja krakkereita - seinille. Oikeasti pelottavimpia mörköjä ovat yrityksen omat työntekijät, jotka käsittelevät tietoa leväperäisesti eivätkä noudata tietoturvaohjeita.

Kukapa tällaisesta kuitenkaan kertoisi julkisuudessa. Paljastuneet tietoturva-aukot ovat tahra imagossa, eikä omia työntekijöitä haluta syyllistää.

"En kerro mitään", virustentorjuntayritys F-Securessa omasta tietoturvasta vastaava Tomi Tuominen vastaa kysymykseen, onko suutarin lapsella kengät eli mitä tunnetut virustorjujat ovat tehneet oman tietoturvansa eteen.

"Lehdet ovat paras tietolähde hyökkääjille. F-Secure on hyökkääjien listan kärkipäässä, koska se olisi komea sulka hattuun", Tuominen sanoo.

"Järjestelmällisyyden puute", nimeää tietotekniikkakouluttaja ja -kirjoittaja Petteri Järvinen yritysten suurimmaksi tietoturvaongelmaksi. Häneltä ilmestyi elokuussa Tietoturva ja yksityisyys -niminen kirja. "Ei ole dokumentaatiota eikä valvontaa, asioihin puututaan, kun ne tulevat eteen eikä suunnitelmallisesti, on kiirettä, välinpitämättömyyttä, osaamattomuutta."

Samaa asiaa toiselta kantilta valottaa johdon tietoturvakonsultti, Esimies ja tietoriskien hallinta -kirjan kirjoittanut Tuija Kyrölä.

"Suurin ongelma on, että yrityksen tietoja käsitellään huolettomasti eikä yrityksessä tiedetä, mikä tieto on suojaamisen arvoisia ja mikä ei. Tieto virtaa esteittä yrityksestä, ellei sille anneta arvoa. Useiden kuukausien ja vuosien työpanos voi joutua yrityksen ulkopuolelle helposti."

"Turvavastaava pitäisi löytyä talon sisältä"

Tietoturva ei tule kuntoon oikeilla laitteilla ja ohjelmilla. Niillä ei ole mitään merkitystä, jos niitä käytetään väärin tai ohjeita ei noudateta.

Useimmiten yrityksissä herätään vasta, kun jotain tapahtuu. Tällainen toiminta on reaktiivista, kun parasta toimintaa olisi proaktiivinen, ennalta ehkäisevä.

Järjestäytynyt tapa aloittaa tietoturvan kuntoon saattaminen on määritellä arvokas tieto ja suunnitella päämäärät ja keinot sen suojaamiseksi. Työ aloitetaan usein konsultin avulla projektinomaisesti, mutta asia ei tule sillä kuntoon.

"Tietoturvatyö ei ole koskaan ohi", Tuija Kyrölä huomauttaa.

"Tietoturvan on oltava talon sisällä. Konsulttia voi käyttää apuna kartoituksessa ja määrittelyssä, mutta omassa organisaatiossa jonkun on potkittava asiaa eteenpäin", Tomi Tuominen huomauttaa.

Alkuvaiheen määrittelyssä pitäisi käydä läpi ne yrityksen tiedot, jotka vaativat suojaamista, sekä keinot niiden suojaamiseen.

"Jos suojaaminen on arvokkaampaa kuin suojattava tieto, homma ei kannata", Novossa tietoturvasta vastaava Pete Nieminen huomauttaa.

Jotta tämä tiedettäisiin, tieto pitäisi luokitella. "Luokitteleminen on erittäin harvinaista, koska se koetaan vaikeaksi", Tuija Kyrölä sanoo.

Raamit yrityksen tai organisaation tietoturvakäytännöille antaa tietoturvapolitiikka työohjeineen. "Mutta koska ne on tarkoitettu henkilöstölle, niitä ei saisi kirjoittaa tietoturvaslangilla eli puhua niissä autentikoinnista ja kiistämättömyydestä. Kuka sellaista jaksaa lukea?"

Sama laite voi olla turvallinen ja turvaton

Sekä sähköisen että esimerkiksi paperimuodossa olevan tiedon suojaaminen lähtee fyysisen ympäristön suojaamisesta - esimerkiksi paloturvallisuudesta ja kulunvalvonnasta. Se tarkoittaa myös tietokoneiden suojaamista fyysisesti asiattomalta pääsyltä niiden luokse; tämä koskee erityisesti kannettavia ja etäkäytön koneita. Jopa kytkimet pitäisi suojata fyysisesti.

"Ellei niitä ole suojattu, kuka tahansa voi käydä laittamassa kannettavansa kiinni yritysverkkoon", verkkolaitevalmistaja Ciscon tietoliikenneasiantuntija Sami Iivarinen sanoo.

Fyysiseen laiteturvaan voi ajatella liittyvän myös sen, että koneen saa käyntiin vain salasanalla. Sovellukset voi lisäksi suojata, samoin dokumentit, jopa kiintolevyn.

Tietoliikenneyhteyksien suojaaminen suojaa verkkoa, yhteyksiä, päätteitä, ohjelmistoja ja dokumentteja. Verkkotason suojauksen avulla voidaan seurata hyökkäyksiä palvelimiin ja esimerkiksi estää virusten leviäminen päätteisiin.

Jopa palomuuri puuttuu monelta

"Laitteet on suunniteltu välittämään liikennettä eli ne ovat konfiguraatioiltaan avoimia. Samaa kytkintä voi käyttää sekä turvallisesti että turvattomasti sen mukaan, miten se on konfiguroitu", Sami Iivarinen muistuttaa.

Iivarista ihmetyttää se, että Suomessa on vielä paljon yrityksiä, joilla ei ole lainkaan palomuuria. "Ja osa ei tiedä, onko."

Verkkolaitteet vaativatkin osaamista myös ostajalta. Vaikka tietotekniikka on ulkoistettu, ostajan on osattava vaatia huolellista palomuurien määrittelyä, reitittimien salasanojen muuttamista ja myös verkon suojaamista sisältä tulevilta hyökkäyksiltä. "Konfiguraatiot on hyvä antaa auditoitaviksi. Itse voi olla omille konfiguraatioilleen sokea", Iivarinen huomauttaa.

VPN-yhteyksiä Iivarinen pitää turvallisina. Jos yhteys on luotetulta koneelta luotettuun kohteeseen salattua tunnelia pitkin, ongelmia ei pitäisi olla, jos salasanat vain ovat niihin oikeutetun ihmisen hallussa.

"Etätyö sinänsä on selvä uhka tietoturvalle. Muuallakin kuin yrityksen tiloissa oleva kone on aina yrityksen omaisuutta, ja sitä pitäisi kohdella sen vaatimalla tavalla", Petteri Järvinen muistuttaa.

Sähköposti jää usein salaamatta

Ohjelmien, sovellusten, dokumenttien ja laitetason turvallisuutta on osittain vaikea erottaa toisistaan. Kaikkien käyttämistä voivat haitata samat tekijät: tiedon epäasianmukainen käyttäminen, toiseksi käyttäjäksi tekeytyminen, tietomurrot, vahingontekomielessä aiheutettu verkon kuormitus ja virukset.

"Sähköpostitse saatetaan lähettää ilman salausta tärkeitä ja luottamuksellisia tietoja, vaikka on sovittu, ettei niitä toimiteta yrityksen ulkopuolelle", Tuija Kyrölä antaa esimerkin ensin mainitusta.

Sähköpostin turvallisuutta voi lisätä ensinnäkin salaamalla viestit. Se on ilmeisesti kuitenkin harvinaista? "Ikävä kyllä", huokaa tuotepäällikkö Rasa Siegberg salaus- ja autentikointituotteita valmistavasta SSH-yhtiöstä.

"Ratkaisuja olisi tarjolla monenlaisia, joista osa on hyvinkin helppoa käyttää. Sähköpostin turvallisuutta voi lisätä joko salakirjoittamalla itse viestit tai salaamalla koko viestiliikenteen. Salaamattomien sähköpostien kaappauksista ei haluta imagohaittojen pelossa puhua. Mekään emme ole lähteneet pelottelulinjalle", hän lisää.

Dokumentteja suojataan, mutta suojaukset ovat helposti purettavissa. "Pdf:n suojauksen saa sekunnissa auki", Pete Nieminen sanoo.

Seurantaa ja pakotteita käyttöön

Monelle tietoturvan puute ja virukset ovat sama asia. Useimmiten sähköpostin, mutta myös Web-selailun kautta tulevat virukset voivat tuottaa paljon tuhoa, mutta se on kuitenkin sivuseikka loppuvaikutuksen kannalta: kaikki tietoturvauhat sisältävät riskin, että yrityksen toiminta lamaantuu.

Tomi Tuominen kertoo yrityksestä, jonka 17 matkamikroon pääsi flash-muistin päälle kirjoittautuva virus. Sen jälkeen koneita ei enää saanut auki.

Virusten kirjoittajat ahkeroivat viime vuonna; tänä vuonna se ei enää ole muotia. Virustorjuntaa moititaan siitä, että sekin on reaktiivista toimintaa. "Kolmesataa tunnetuinta Microsoft-pohjaista virusta aiheuttaa 99 prosenttia ongelmista eli suurin osa tunnetaan", Tomi Tuominen korjaa.

Tuntemattomiakin voi arvailla viruksiksi. Virustorjuntaohjelma tarkkailee liikennettä, ja jos dokumentissa on viruksen kaltaista koodinpätkää, ohjelma laskee todennäköisyyden sille, että kyseessä on virus. Jos todennäköisyys on suuri, viruksen matka katkeaa.

Tuominen ei luottaisi pelkkään verkkotason salaukseen. "Sehän ei suojaa esimerkiksi CD-ROMien mukana tulevilta viruksilta."

Market-Vision ja IDC:n mukaan maailmassa 95 prosenttia yrityksistä on joutunut hyökkäyksen kohteeksi - joko yrityksen sisältä tai ulkoa.

"Suuret yritykset olettavat, että sisäverkko on turvassa, vaikka todellisuudessa suurin osa tietomurroista tulee yrityksen sisältä", Rasa Siegberg huomauttaa.

Yksi osa tietoturvaa onkin valvonta. Suomessa siitä puhumista pelätään, samoin kuin rangaistusten tai pakotteiden käyttämistä, mutta valvonta ei ole samaa kuin urkinta.

"Valvonta ei tarkoita sähköpostin lukemista, vaan että tarkkaillaan, minkätyyppistä ja missä määrin tietoa sähköpostitse on liikkunut, kuka on poiminut, mihin aikaan ja minne tietoa yritysverkosta. Valvontajärjestelmä voi myös huomauttaa, jos virustorjunta ei ole ajan tasalla ja ehdottaa päivitystä", Pete Nieminen selventää.

Suojauksen voi ostaa palveluna

Ulkoistamisen ja tietoturvan suhteesta ei juuri puhuta. Ulkoistuspalveluja tarjoavan Novon Pete Nieminen on sitä mieltä, että yleensä ulkoistustapauksissa tietoturvan taso nousee.

"Alan toimijat ovat vakiintuneita, ja niiden tietoturvakäytännöt ovat yleensä ulkoistavaa yritystä korkeammalla tasolla."

Onko olemassa vaara, että ulkoistuspalveluntarjoaja joutuu vastaamaan jopa oikeudellisesti mahdollisista tietovuodoista?

"Täysin varmoja ratkaisujahan ei ole olemassakaan. Sopimuksessa voidaan määritellä, että asiat hoidetaan tietyllä tavalla, mutta ei voida luvata, että mitään ei koskaan tapahdu", Nieminen vastaa.

Kustannusten kannalta on oleellista selvittää, mitkä ovat arvokkaimpia tietoja ja mitä niiden suojaaminen maksaa.

"Kun pahimmat uhkat torjutaan, tietoturvan taso nousee dramaattisesti", Tomi Tuominen sanoo.

"Tietoturva tuntuu usein tuottamattomalta investoinnilta. Mutta siinä maksetaan siitä, ettei mitään tapahdu", Pete Nieminen huomauttaa.

Varmuuskopiot pitää olla aina

Tietoturvauhkien todentuessa tärkeintä on saada yritys mahdollisimman pian toimintakuntoiseksi. Virukset on siivottava pikaisesti, kadotettu tieto ja koneiden toimintakyky palautettava.

"Kaikesta on oltava varmuuskopio", Tomi Tuominen huomauttaa.

Miten yritys ja työntekijät sitten saa sitoutumaan kaikkeen edellä mainittuun ja toimimaan ohjeiden mukaan? Parasta sitouttamista on kouluttaminen ja se, että vastuu asiasta on liiketoimintayksiköissä, ei esimerkiksi IT-osastolla.

Koulutus kannattaa järjestää sitten, kun toimintatavat ja -järjestelmät ovat jo olemassa. "Sen on oltava jatkuvaa. Meillä asiaa käsitellään eri näkökulmista kahdesti vuodessa", Tomi Tuominen kertoo.

"Lähes yhtä isoja tietoturvauhkia kuin tässä mainitut asiat on myös se, että yrityksen edustajat puhuvat lentokoneessa varsin huolettomasti yrityksen asioista. Tai että kännykkää käytetään samoihin tarkoituksiin julkisissa kulkuneuvoissa", Petteri Järvinen huomauttaa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Sisäpiirin paljastus: Saara Aallolle maksetaan Lontoossa kaikki, Meri-rakas ja ystävät sinnittelevät – ”Hyödynnämme tarjouksia”

    2. 2

      Italialaisen mallikaunottaren, 42, härski alastonkuva kauhistuttaa faneja – pani isäpuolensa ja näyttelijä-äitinsä ikuistamaan itsensä jooga-asennossa

    3. 3

      Myrkyttääkö narsisti elämääsi? 7 varoitusmerkkiä

    4. 4

      Kadonneita turvapaikanhakijoita on Suomessa jo 3 800 – ”Ihmisiä alkaa ilmestyä luukuille kunnissa”

    5. 5

      Juho muutti Espanjaan – kämppä on kylmä ja kallis, eikä ilman villasukkia pärjää: ”Välillä pyyhkäisen hometta seinistä”

    6. 6

      Trump poseeraa Time-lehden kannessa – somessa huomattiin heti: Kuvaan piilotettiin viesti paholaisesta ja viittaus Hitleriin?

    7. 7

      Vuosaaren paloasunnossa ei ollut palovaroitinta – äiti ja lapset kuolivat, perheen isä kuuli suruviestin töissä

    8. 8

      Suomi murskavoitolla mitalipeleihin – 31-vuotiaana debytoineelle maalivahdille heti nollapeli!

    9. 9

      Pornosivustolla pelätään: Tiedustelulaki vie kävijät

    10. 10

      X Factor -finalistit asettuivat mentoriaan vastaan – joutuivat selittelemään tämän typeriä möläytyksiä

    11. Näytä lisää
    1. 1

      Suuri lihapullatesti oli yhden pienen pyörykän ylivoimaa – ”Heittämällä paras”

    2. 2

      Äidin tekemä Excel-taulukko paljasti kylmän totuuden Nikon tilanteesta – näin poika kuittasi 50 000 € velat

    3. 3

      Psykoosiin ajautunut Kanye West palasi julkisuuteen muuttuneena – ensimmäinen kuva räppäristä poistettiin Instagramista nopeasti

    4. 4

      Aasialaismiehen passikuva hylättiin äärimmäisen kiusallisesta syystä

    5. 5

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    6. 6

      Kolme lasta ja äiti kuolivat tulipalossa Helsingin Vuosaaressa – näin tapahtumat etenivät

    7. 7

      Poliisi kertoi lisää Vuosaaren tragediasta: nuorin uhri 2-vuotias, suurimmat tuhot saunassa

    8. 8

      Yhden hitin eläketurva – tässä on joululaulu, joka tuo kirjoittajilleen edelleen 590 000 euron vuosittaiset rojaltitulot

    9. 9

      Näin Patrik Laine asuu Winnipegissä – ”Just ja just osaan käyttää mikroa”

    10. 10

      Vuosaaren paloasunnossa ei ollut palovaroitinta – äiti ja lapset kuolivat, perheen isä kuuli suruviestin töissä

    11. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    3. 3

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    4. 4

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    5. 5

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    6. 6

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    7. 7

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    8. 8

      Todelliset syyt, joiden vuoksi naiset voihkivat seksin aikana

    9. 9

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    10. 10

      Linnan jatkoilla nousi hässäkkä – Heikki Lampela ja Hanna Kärpänen sisään vahvassa juhlatunnelmassa: ”Haluan seikkailuja”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Sisäpiirin paljastus: Saara Aallolle maksetaan Lontoossa kaikki, Meri-rakas ja ystävät sinnittelevät – ”Hyödynnämme tarjouksia”

    2. 2

      Italialaisen mallikaunottaren, 42, härski alastonkuva kauhistuttaa faneja – pani isäpuolensa ja näyttelijä-äitinsä ikuistamaan itsensä jooga-asennossa

    3. 3

      Myrkyttääkö narsisti elämääsi? 7 varoitusmerkkiä

    4. 4

      Kadonneita turvapaikanhakijoita on Suomessa jo 3 800 – ”Ihmisiä alkaa ilmestyä luukuille kunnissa”

    5. 5

      Juho muutti Espanjaan – kämppä on kylmä ja kallis, eikä ilman villasukkia pärjää: ”Välillä pyyhkäisen hometta seinistä”

    6. Näytä lisää
    1. 1

      Suuri lihapullatesti oli yhden pienen pyörykän ylivoimaa – ”Heittämällä paras”

    2. 2

      Äidin tekemä Excel-taulukko paljasti kylmän totuuden Nikon tilanteesta – näin poika kuittasi 50 000 € velat

    3. 3

      Psykoosiin ajautunut Kanye West palasi julkisuuteen muuttuneena – ensimmäinen kuva räppäristä poistettiin Instagramista nopeasti

    4. 4

      Aasialaismiehen passikuva hylättiin äärimmäisen kiusallisesta syystä

    5. 5

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    6. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    3. 3

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    4. 4

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    5. 5

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    6. Näytä lisää