Digitoday

Valikko

Oman väen turvakurssitus unohtuu usein

Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.
Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.

Lahjo, pelottele, kiristä ja uhkaile. Tietoturvan kauppaamisessa ovat käytössä lähes samat asiat kuin kasvattamisessa. Tietoturvaa myydään maalaamalla mörköjä - viruksia ja krakkereita - seinille. Oikeasti pelottavimpia mörköjä ovat yrityksen omat työntekijät, jotka käsittelevät tietoa leväperäisesti eivätkä noudata tietoturvaohjeita.

Kukapa tällaisesta kuitenkaan kertoisi julkisuudessa. Paljastuneet tietoturva-aukot ovat tahra imagossa, eikä omia työntekijöitä haluta syyllistää.

"En kerro mitään", virustentorjuntayritys F-Securessa omasta tietoturvasta vastaava Tomi Tuominen vastaa kysymykseen, onko suutarin lapsella kengät eli mitä tunnetut virustorjujat ovat tehneet oman tietoturvansa eteen.

"Lehdet ovat paras tietolähde hyökkääjille. F-Secure on hyökkääjien listan kärkipäässä, koska se olisi komea sulka hattuun", Tuominen sanoo.

"Järjestelmällisyyden puute", nimeää tietotekniikkakouluttaja ja -kirjoittaja Petteri Järvinen yritysten suurimmaksi tietoturvaongelmaksi. Häneltä ilmestyi elokuussa Tietoturva ja yksityisyys -niminen kirja. "Ei ole dokumentaatiota eikä valvontaa, asioihin puututaan, kun ne tulevat eteen eikä suunnitelmallisesti, on kiirettä, välinpitämättömyyttä, osaamattomuutta."

Samaa asiaa toiselta kantilta valottaa johdon tietoturvakonsultti, Esimies ja tietoriskien hallinta -kirjan kirjoittanut Tuija Kyrölä.

"Suurin ongelma on, että yrityksen tietoja käsitellään huolettomasti eikä yrityksessä tiedetä, mikä tieto on suojaamisen arvoisia ja mikä ei. Tieto virtaa esteittä yrityksestä, ellei sille anneta arvoa. Useiden kuukausien ja vuosien työpanos voi joutua yrityksen ulkopuolelle helposti."

"Turvavastaava pitäisi löytyä talon sisältä"

Tietoturva ei tule kuntoon oikeilla laitteilla ja ohjelmilla. Niillä ei ole mitään merkitystä, jos niitä käytetään väärin tai ohjeita ei noudateta.

Useimmiten yrityksissä herätään vasta, kun jotain tapahtuu. Tällainen toiminta on reaktiivista, kun parasta toimintaa olisi proaktiivinen, ennalta ehkäisevä.

Järjestäytynyt tapa aloittaa tietoturvan kuntoon saattaminen on määritellä arvokas tieto ja suunnitella päämäärät ja keinot sen suojaamiseksi. Työ aloitetaan usein konsultin avulla projektinomaisesti, mutta asia ei tule sillä kuntoon.

"Tietoturvatyö ei ole koskaan ohi", Tuija Kyrölä huomauttaa.

"Tietoturvan on oltava talon sisällä. Konsulttia voi käyttää apuna kartoituksessa ja määrittelyssä, mutta omassa organisaatiossa jonkun on potkittava asiaa eteenpäin", Tomi Tuominen huomauttaa.

Alkuvaiheen määrittelyssä pitäisi käydä läpi ne yrityksen tiedot, jotka vaativat suojaamista, sekä keinot niiden suojaamiseen.

"Jos suojaaminen on arvokkaampaa kuin suojattava tieto, homma ei kannata", Novossa tietoturvasta vastaava Pete Nieminen huomauttaa.

Jotta tämä tiedettäisiin, tieto pitäisi luokitella. "Luokitteleminen on erittäin harvinaista, koska se koetaan vaikeaksi", Tuija Kyrölä sanoo.

Raamit yrityksen tai organisaation tietoturvakäytännöille antaa tietoturvapolitiikka työohjeineen. "Mutta koska ne on tarkoitettu henkilöstölle, niitä ei saisi kirjoittaa tietoturvaslangilla eli puhua niissä autentikoinnista ja kiistämättömyydestä. Kuka sellaista jaksaa lukea?"

Sama laite voi olla turvallinen ja turvaton

Sekä sähköisen että esimerkiksi paperimuodossa olevan tiedon suojaaminen lähtee fyysisen ympäristön suojaamisesta - esimerkiksi paloturvallisuudesta ja kulunvalvonnasta. Se tarkoittaa myös tietokoneiden suojaamista fyysisesti asiattomalta pääsyltä niiden luokse; tämä koskee erityisesti kannettavia ja etäkäytön koneita. Jopa kytkimet pitäisi suojata fyysisesti.

"Ellei niitä ole suojattu, kuka tahansa voi käydä laittamassa kannettavansa kiinni yritysverkkoon", verkkolaitevalmistaja Ciscon tietoliikenneasiantuntija Sami Iivarinen sanoo.

Fyysiseen laiteturvaan voi ajatella liittyvän myös sen, että koneen saa käyntiin vain salasanalla. Sovellukset voi lisäksi suojata, samoin dokumentit, jopa kiintolevyn.

Tietoliikenneyhteyksien suojaaminen suojaa verkkoa, yhteyksiä, päätteitä, ohjelmistoja ja dokumentteja. Verkkotason suojauksen avulla voidaan seurata hyökkäyksiä palvelimiin ja esimerkiksi estää virusten leviäminen päätteisiin.

Jopa palomuuri puuttuu monelta

"Laitteet on suunniteltu välittämään liikennettä eli ne ovat konfiguraatioiltaan avoimia. Samaa kytkintä voi käyttää sekä turvallisesti että turvattomasti sen mukaan, miten se on konfiguroitu", Sami Iivarinen muistuttaa.

Iivarista ihmetyttää se, että Suomessa on vielä paljon yrityksiä, joilla ei ole lainkaan palomuuria. "Ja osa ei tiedä, onko."

Verkkolaitteet vaativatkin osaamista myös ostajalta. Vaikka tietotekniikka on ulkoistettu, ostajan on osattava vaatia huolellista palomuurien määrittelyä, reitittimien salasanojen muuttamista ja myös verkon suojaamista sisältä tulevilta hyökkäyksiltä. "Konfiguraatiot on hyvä antaa auditoitaviksi. Itse voi olla omille konfiguraatioilleen sokea", Iivarinen huomauttaa.

VPN-yhteyksiä Iivarinen pitää turvallisina. Jos yhteys on luotetulta koneelta luotettuun kohteeseen salattua tunnelia pitkin, ongelmia ei pitäisi olla, jos salasanat vain ovat niihin oikeutetun ihmisen hallussa.

"Etätyö sinänsä on selvä uhka tietoturvalle. Muuallakin kuin yrityksen tiloissa oleva kone on aina yrityksen omaisuutta, ja sitä pitäisi kohdella sen vaatimalla tavalla", Petteri Järvinen muistuttaa.

Sähköposti jää usein salaamatta

Ohjelmien, sovellusten, dokumenttien ja laitetason turvallisuutta on osittain vaikea erottaa toisistaan. Kaikkien käyttämistä voivat haitata samat tekijät: tiedon epäasianmukainen käyttäminen, toiseksi käyttäjäksi tekeytyminen, tietomurrot, vahingontekomielessä aiheutettu verkon kuormitus ja virukset.

"Sähköpostitse saatetaan lähettää ilman salausta tärkeitä ja luottamuksellisia tietoja, vaikka on sovittu, ettei niitä toimiteta yrityksen ulkopuolelle", Tuija Kyrölä antaa esimerkin ensin mainitusta.

Sähköpostin turvallisuutta voi lisätä ensinnäkin salaamalla viestit. Se on ilmeisesti kuitenkin harvinaista? "Ikävä kyllä", huokaa tuotepäällikkö Rasa Siegberg salaus- ja autentikointituotteita valmistavasta SSH-yhtiöstä.

"Ratkaisuja olisi tarjolla monenlaisia, joista osa on hyvinkin helppoa käyttää. Sähköpostin turvallisuutta voi lisätä joko salakirjoittamalla itse viestit tai salaamalla koko viestiliikenteen. Salaamattomien sähköpostien kaappauksista ei haluta imagohaittojen pelossa puhua. Mekään emme ole lähteneet pelottelulinjalle", hän lisää.

Dokumentteja suojataan, mutta suojaukset ovat helposti purettavissa. "Pdf:n suojauksen saa sekunnissa auki", Pete Nieminen sanoo.

Seurantaa ja pakotteita käyttöön

Monelle tietoturvan puute ja virukset ovat sama asia. Useimmiten sähköpostin, mutta myös Web-selailun kautta tulevat virukset voivat tuottaa paljon tuhoa, mutta se on kuitenkin sivuseikka loppuvaikutuksen kannalta: kaikki tietoturvauhat sisältävät riskin, että yrityksen toiminta lamaantuu.

Tomi Tuominen kertoo yrityksestä, jonka 17 matkamikroon pääsi flash-muistin päälle kirjoittautuva virus. Sen jälkeen koneita ei enää saanut auki.

Virusten kirjoittajat ahkeroivat viime vuonna; tänä vuonna se ei enää ole muotia. Virustorjuntaa moititaan siitä, että sekin on reaktiivista toimintaa. "Kolmesataa tunnetuinta Microsoft-pohjaista virusta aiheuttaa 99 prosenttia ongelmista eli suurin osa tunnetaan", Tomi Tuominen korjaa.

Tuntemattomiakin voi arvailla viruksiksi. Virustorjuntaohjelma tarkkailee liikennettä, ja jos dokumentissa on viruksen kaltaista koodinpätkää, ohjelma laskee todennäköisyyden sille, että kyseessä on virus. Jos todennäköisyys on suuri, viruksen matka katkeaa.

Tuominen ei luottaisi pelkkään verkkotason salaukseen. "Sehän ei suojaa esimerkiksi CD-ROMien mukana tulevilta viruksilta."

Market-Vision ja IDC:n mukaan maailmassa 95 prosenttia yrityksistä on joutunut hyökkäyksen kohteeksi - joko yrityksen sisältä tai ulkoa.

"Suuret yritykset olettavat, että sisäverkko on turvassa, vaikka todellisuudessa suurin osa tietomurroista tulee yrityksen sisältä", Rasa Siegberg huomauttaa.

Yksi osa tietoturvaa onkin valvonta. Suomessa siitä puhumista pelätään, samoin kuin rangaistusten tai pakotteiden käyttämistä, mutta valvonta ei ole samaa kuin urkinta.

"Valvonta ei tarkoita sähköpostin lukemista, vaan että tarkkaillaan, minkätyyppistä ja missä määrin tietoa sähköpostitse on liikkunut, kuka on poiminut, mihin aikaan ja minne tietoa yritysverkosta. Valvontajärjestelmä voi myös huomauttaa, jos virustorjunta ei ole ajan tasalla ja ehdottaa päivitystä", Pete Nieminen selventää.

Suojauksen voi ostaa palveluna

Ulkoistamisen ja tietoturvan suhteesta ei juuri puhuta. Ulkoistuspalveluja tarjoavan Novon Pete Nieminen on sitä mieltä, että yleensä ulkoistustapauksissa tietoturvan taso nousee.

"Alan toimijat ovat vakiintuneita, ja niiden tietoturvakäytännöt ovat yleensä ulkoistavaa yritystä korkeammalla tasolla."

Onko olemassa vaara, että ulkoistuspalveluntarjoaja joutuu vastaamaan jopa oikeudellisesti mahdollisista tietovuodoista?

"Täysin varmoja ratkaisujahan ei ole olemassakaan. Sopimuksessa voidaan määritellä, että asiat hoidetaan tietyllä tavalla, mutta ei voida luvata, että mitään ei koskaan tapahdu", Nieminen vastaa.

Kustannusten kannalta on oleellista selvittää, mitkä ovat arvokkaimpia tietoja ja mitä niiden suojaaminen maksaa.

"Kun pahimmat uhkat torjutaan, tietoturvan taso nousee dramaattisesti", Tomi Tuominen sanoo.

"Tietoturva tuntuu usein tuottamattomalta investoinnilta. Mutta siinä maksetaan siitä, ettei mitään tapahdu", Pete Nieminen huomauttaa.

Varmuuskopiot pitää olla aina

Tietoturvauhkien todentuessa tärkeintä on saada yritys mahdollisimman pian toimintakuntoiseksi. Virukset on siivottava pikaisesti, kadotettu tieto ja koneiden toimintakyky palautettava.

"Kaikesta on oltava varmuuskopio", Tomi Tuominen huomauttaa.

Miten yritys ja työntekijät sitten saa sitoutumaan kaikkeen edellä mainittuun ja toimimaan ohjeiden mukaan? Parasta sitouttamista on kouluttaminen ja se, että vastuu asiasta on liiketoimintayksiköissä, ei esimerkiksi IT-osastolla.

Koulutus kannattaa järjestää sitten, kun toimintatavat ja -järjestelmät ovat jo olemassa. "Sen on oltava jatkuvaa. Meillä asiaa käsitellään eri näkökulmista kahdesti vuodessa", Tomi Tuominen kertoo.

"Lähes yhtä isoja tietoturvauhkia kuin tässä mainitut asiat on myös se, että yrityksen edustajat puhuvat lentokoneessa varsin huolettomasti yrityksen asioista. Tai että kännykkää käytetään samoihin tarkoituksiin julkisissa kulkuneuvoissa", Petteri Järvinen huomauttaa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Amerikkalaiset opettelevat arktista sodankäyntiä Jääkäriprikaatissa – vaikeuksia suomalaisten perustaidossa

    2. 2

      Nyrkkitappelu helsinkiläisessä peruskoulussa – poliisi paikalle

    3. 3

      Manuela Bosco julkaisi harvinaisia yhteiskuvia perheestään – tyttären villi kampaus varastaa huomion

    4. 4

      Muumit palaavat ruutuihin! Klassikkoäänet korvattu uusilla

    5. 5

      Huomaatko piilossa olevan ihmishahmon 1880-luvun kuvassa? Vanha mysteeri hämmentää

    6. 6

      Berner lähti ja jätti vastaamatta toimittajille – tietoa liikenneverkkoyhtiöstä vasta torstaina

    7. 7

      Yllättävä huhu: Tämänkö vuoksi Samsungin puhelimet räjähtivät?

    8. 8

      Polttoainefirma repäisee upouudella mallilla: Tankkaa autoasi puolitoista vuotta niin paljon kuin haluat – hinta 69 euroa/kk!

    9. 9

      Venäläisen sarjamurhaajan karmiva tarina: mahdollisesti kaikkien aikojen kolmanneksi raa'in henkirikossarja

    10. 10

      Suomalaistenkin suosimassa meksikolaisessa lomakohteessa yökerhoammuskelu – useita kuollut

    11. Näytä lisää
    1. 1

      Kolme povekasta blondia: Natalie, 45, sekoitetaan jatkuvasti tyttäriinsä – erotatko kuvista kuka on äiti?

    2. 2

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    3. 3

      Kaisa Mäkäräinen nettosi viikonlopulta huipputilin

    4. 4

      Enni Rukajärvi teki kovan päätöksen – ”Jossain menee jokaisella se raja”

    5. 5

      Venäläisen sarjamurhaajan karmiva tarina: mahdollisesti kaikkien aikojen kolmanneksi raa'in henkirikossarja

    6. 6

      Suomalaisten suosikkikohteeseen laskeutuminen vaatii kapteenilta erityiskoulutuksen – 5 hurjaa kiitotietä

    7. 7

      Kuoleman kaivoksen sukellusturman uhri oli 56-vuotias viiden lapsen isä ja pappi

    8. 8

      Polttoainefirma repäisee upouudella mallilla: Tankkaa autoasi puolitoista vuotta niin paljon kuin haluat – hinta 69 euroa/kk!

    9. 9

      ”Täysin luomusta” Antjesta, 22, tuli Instagram-tähti – pyrkii kurvikkailla kuvillaan Hollywoodiin

    10. 10

      Reserviläiset ryntäsivät siviilipalvelukseen – syynä puolustusvoimien lähettämä kirje

    11. Näytä lisää
    1. 1

      Teri Niitti, 43, on kuollut

    2. 2

      Madonna julkaisi haarovälikuvan – Piers Morgan: ”Oksensin aamupalani”

    3. 3

      Poliisi ampui miehen maaliskuussa – vainajan autosta löytyi kolkko kirje

    4. 4

      Valesotilas yritti huijata – Tiina vedättikin takaisin: ”Naurettiin ukkoni kanssa niin, että mahaan koski”

    5. 5

      Häikäisevän kaunis morsian! Mika Häkkinen ja Marketa pääsivät poroajelun kyytiin – suloiset lapset mukana

    6. 6

      Huikea muutos: Playboy-mallin kasvoilta pestiin tv-ohjelmassa vahva meikkikerros – tyrmistyi lopputuloksesta

    7. 7

      Arto, 35, joutui väkisin mukaan perustulo­kokeiluun: ”Älyttömän huonot tunnelmat ”

    8. 8

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    9. 9

      Masennuksen huonosti tunnettu alatyyppi nakertaa vaivihkaa – onko sinulla kolme näistä oireista?

    10. 10

      Teri Niitti antoi syksyllä riipaisevan haastattelun Suomipopille – kertasi raskasta vuottaan: ”Mulle riittää, että olen pyytänyt anteeksi”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Amerikkalaiset opettelevat arktista sodankäyntiä Jääkäriprikaatissa – vaikeuksia suomalaisten perustaidossa

    2. 2

      Nyrkkitappelu helsinkiläisessä peruskoulussa – poliisi paikalle

    3. 3

      Manuela Bosco julkaisi harvinaisia yhteiskuvia perheestään – tyttären villi kampaus varastaa huomion

    4. 4

      Muumit palaavat ruutuihin! Klassikkoäänet korvattu uusilla

    5. 5

      Huomaatko piilossa olevan ihmishahmon 1880-luvun kuvassa? Vanha mysteeri hämmentää

    6. Näytä lisää
    1. 1

      Kolme povekasta blondia: Natalie, 45, sekoitetaan jatkuvasti tyttäriinsä – erotatko kuvista kuka on äiti?

    2. 2

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    3. 3

      Kaisa Mäkäräinen nettosi viikonlopulta huipputilin

    4. 4

      Enni Rukajärvi teki kovan päätöksen – ”Jossain menee jokaisella se raja”

    5. 5

      Venäläisen sarjamurhaajan karmiva tarina: mahdollisesti kaikkien aikojen kolmanneksi raa'in henkirikossarja

    6. Näytä lisää
    1. 1

      Teri Niitti, 43, on kuollut

    2. 2

      Madonna julkaisi haarovälikuvan – Piers Morgan: ”Oksensin aamupalani”

    3. 3

      Poliisi ampui miehen maaliskuussa – vainajan autosta löytyi kolkko kirje

    4. 4

      Valesotilas yritti huijata – Tiina vedättikin takaisin: ”Naurettiin ukkoni kanssa niin, että mahaan koski”

    5. 5

      Häikäisevän kaunis morsian! Mika Häkkinen ja Marketa pääsivät poroajelun kyytiin – suloiset lapset mukana

    6. Näytä lisää