Digitoday

Valikko

Oman väen turvakurssitus unohtuu usein

Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.
Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.

Lahjo, pelottele, kiristä ja uhkaile. Tietoturvan kauppaamisessa ovat käytössä lähes samat asiat kuin kasvattamisessa. Tietoturvaa myydään maalaamalla mörköjä - viruksia ja krakkereita - seinille. Oikeasti pelottavimpia mörköjä ovat yrityksen omat työntekijät, jotka käsittelevät tietoa leväperäisesti eivätkä noudata tietoturvaohjeita.

Kukapa tällaisesta kuitenkaan kertoisi julkisuudessa. Paljastuneet tietoturva-aukot ovat tahra imagossa, eikä omia työntekijöitä haluta syyllistää.

"En kerro mitään", virustentorjuntayritys F-Securessa omasta tietoturvasta vastaava Tomi Tuominen vastaa kysymykseen, onko suutarin lapsella kengät eli mitä tunnetut virustorjujat ovat tehneet oman tietoturvansa eteen.

"Lehdet ovat paras tietolähde hyökkääjille. F-Secure on hyökkääjien listan kärkipäässä, koska se olisi komea sulka hattuun", Tuominen sanoo.

"Järjestelmällisyyden puute", nimeää tietotekniikkakouluttaja ja -kirjoittaja Petteri Järvinen yritysten suurimmaksi tietoturvaongelmaksi. Häneltä ilmestyi elokuussa Tietoturva ja yksityisyys -niminen kirja. "Ei ole dokumentaatiota eikä valvontaa, asioihin puututaan, kun ne tulevat eteen eikä suunnitelmallisesti, on kiirettä, välinpitämättömyyttä, osaamattomuutta."

Samaa asiaa toiselta kantilta valottaa johdon tietoturvakonsultti, Esimies ja tietoriskien hallinta -kirjan kirjoittanut Tuija Kyrölä.

"Suurin ongelma on, että yrityksen tietoja käsitellään huolettomasti eikä yrityksessä tiedetä, mikä tieto on suojaamisen arvoisia ja mikä ei. Tieto virtaa esteittä yrityksestä, ellei sille anneta arvoa. Useiden kuukausien ja vuosien työpanos voi joutua yrityksen ulkopuolelle helposti."

"Turvavastaava pitäisi löytyä talon sisältä"

Tietoturva ei tule kuntoon oikeilla laitteilla ja ohjelmilla. Niillä ei ole mitään merkitystä, jos niitä käytetään väärin tai ohjeita ei noudateta.

Useimmiten yrityksissä herätään vasta, kun jotain tapahtuu. Tällainen toiminta on reaktiivista, kun parasta toimintaa olisi proaktiivinen, ennalta ehkäisevä.

Järjestäytynyt tapa aloittaa tietoturvan kuntoon saattaminen on määritellä arvokas tieto ja suunnitella päämäärät ja keinot sen suojaamiseksi. Työ aloitetaan usein konsultin avulla projektinomaisesti, mutta asia ei tule sillä kuntoon.

"Tietoturvatyö ei ole koskaan ohi", Tuija Kyrölä huomauttaa.

"Tietoturvan on oltava talon sisällä. Konsulttia voi käyttää apuna kartoituksessa ja määrittelyssä, mutta omassa organisaatiossa jonkun on potkittava asiaa eteenpäin", Tomi Tuominen huomauttaa.

Alkuvaiheen määrittelyssä pitäisi käydä läpi ne yrityksen tiedot, jotka vaativat suojaamista, sekä keinot niiden suojaamiseen.

"Jos suojaaminen on arvokkaampaa kuin suojattava tieto, homma ei kannata", Novossa tietoturvasta vastaava Pete Nieminen huomauttaa.

Jotta tämä tiedettäisiin, tieto pitäisi luokitella. "Luokitteleminen on erittäin harvinaista, koska se koetaan vaikeaksi", Tuija Kyrölä sanoo.

Raamit yrityksen tai organisaation tietoturvakäytännöille antaa tietoturvapolitiikka työohjeineen. "Mutta koska ne on tarkoitettu henkilöstölle, niitä ei saisi kirjoittaa tietoturvaslangilla eli puhua niissä autentikoinnista ja kiistämättömyydestä. Kuka sellaista jaksaa lukea?"

Sama laite voi olla turvallinen ja turvaton

Sekä sähköisen että esimerkiksi paperimuodossa olevan tiedon suojaaminen lähtee fyysisen ympäristön suojaamisesta - esimerkiksi paloturvallisuudesta ja kulunvalvonnasta. Se tarkoittaa myös tietokoneiden suojaamista fyysisesti asiattomalta pääsyltä niiden luokse; tämä koskee erityisesti kannettavia ja etäkäytön koneita. Jopa kytkimet pitäisi suojata fyysisesti.

"Ellei niitä ole suojattu, kuka tahansa voi käydä laittamassa kannettavansa kiinni yritysverkkoon", verkkolaitevalmistaja Ciscon tietoliikenneasiantuntija Sami Iivarinen sanoo.

Fyysiseen laiteturvaan voi ajatella liittyvän myös sen, että koneen saa käyntiin vain salasanalla. Sovellukset voi lisäksi suojata, samoin dokumentit, jopa kiintolevyn.

Tietoliikenneyhteyksien suojaaminen suojaa verkkoa, yhteyksiä, päätteitä, ohjelmistoja ja dokumentteja. Verkkotason suojauksen avulla voidaan seurata hyökkäyksiä palvelimiin ja esimerkiksi estää virusten leviäminen päätteisiin.

Jopa palomuuri puuttuu monelta

"Laitteet on suunniteltu välittämään liikennettä eli ne ovat konfiguraatioiltaan avoimia. Samaa kytkintä voi käyttää sekä turvallisesti että turvattomasti sen mukaan, miten se on konfiguroitu", Sami Iivarinen muistuttaa.

Iivarista ihmetyttää se, että Suomessa on vielä paljon yrityksiä, joilla ei ole lainkaan palomuuria. "Ja osa ei tiedä, onko."

Verkkolaitteet vaativatkin osaamista myös ostajalta. Vaikka tietotekniikka on ulkoistettu, ostajan on osattava vaatia huolellista palomuurien määrittelyä, reitittimien salasanojen muuttamista ja myös verkon suojaamista sisältä tulevilta hyökkäyksiltä. "Konfiguraatiot on hyvä antaa auditoitaviksi. Itse voi olla omille konfiguraatioilleen sokea", Iivarinen huomauttaa.

VPN-yhteyksiä Iivarinen pitää turvallisina. Jos yhteys on luotetulta koneelta luotettuun kohteeseen salattua tunnelia pitkin, ongelmia ei pitäisi olla, jos salasanat vain ovat niihin oikeutetun ihmisen hallussa.

"Etätyö sinänsä on selvä uhka tietoturvalle. Muuallakin kuin yrityksen tiloissa oleva kone on aina yrityksen omaisuutta, ja sitä pitäisi kohdella sen vaatimalla tavalla", Petteri Järvinen muistuttaa.

Sähköposti jää usein salaamatta

Ohjelmien, sovellusten, dokumenttien ja laitetason turvallisuutta on osittain vaikea erottaa toisistaan. Kaikkien käyttämistä voivat haitata samat tekijät: tiedon epäasianmukainen käyttäminen, toiseksi käyttäjäksi tekeytyminen, tietomurrot, vahingontekomielessä aiheutettu verkon kuormitus ja virukset.

"Sähköpostitse saatetaan lähettää ilman salausta tärkeitä ja luottamuksellisia tietoja, vaikka on sovittu, ettei niitä toimiteta yrityksen ulkopuolelle", Tuija Kyrölä antaa esimerkin ensin mainitusta.

Sähköpostin turvallisuutta voi lisätä ensinnäkin salaamalla viestit. Se on ilmeisesti kuitenkin harvinaista? "Ikävä kyllä", huokaa tuotepäällikkö Rasa Siegberg salaus- ja autentikointituotteita valmistavasta SSH-yhtiöstä.

"Ratkaisuja olisi tarjolla monenlaisia, joista osa on hyvinkin helppoa käyttää. Sähköpostin turvallisuutta voi lisätä joko salakirjoittamalla itse viestit tai salaamalla koko viestiliikenteen. Salaamattomien sähköpostien kaappauksista ei haluta imagohaittojen pelossa puhua. Mekään emme ole lähteneet pelottelulinjalle", hän lisää.

Dokumentteja suojataan, mutta suojaukset ovat helposti purettavissa. "Pdf:n suojauksen saa sekunnissa auki", Pete Nieminen sanoo.

Seurantaa ja pakotteita käyttöön

Monelle tietoturvan puute ja virukset ovat sama asia. Useimmiten sähköpostin, mutta myös Web-selailun kautta tulevat virukset voivat tuottaa paljon tuhoa, mutta se on kuitenkin sivuseikka loppuvaikutuksen kannalta: kaikki tietoturvauhat sisältävät riskin, että yrityksen toiminta lamaantuu.

Tomi Tuominen kertoo yrityksestä, jonka 17 matkamikroon pääsi flash-muistin päälle kirjoittautuva virus. Sen jälkeen koneita ei enää saanut auki.

Virusten kirjoittajat ahkeroivat viime vuonna; tänä vuonna se ei enää ole muotia. Virustorjuntaa moititaan siitä, että sekin on reaktiivista toimintaa. "Kolmesataa tunnetuinta Microsoft-pohjaista virusta aiheuttaa 99 prosenttia ongelmista eli suurin osa tunnetaan", Tomi Tuominen korjaa.

Tuntemattomiakin voi arvailla viruksiksi. Virustorjuntaohjelma tarkkailee liikennettä, ja jos dokumentissa on viruksen kaltaista koodinpätkää, ohjelma laskee todennäköisyyden sille, että kyseessä on virus. Jos todennäköisyys on suuri, viruksen matka katkeaa.

Tuominen ei luottaisi pelkkään verkkotason salaukseen. "Sehän ei suojaa esimerkiksi CD-ROMien mukana tulevilta viruksilta."

Market-Vision ja IDC:n mukaan maailmassa 95 prosenttia yrityksistä on joutunut hyökkäyksen kohteeksi - joko yrityksen sisältä tai ulkoa.

"Suuret yritykset olettavat, että sisäverkko on turvassa, vaikka todellisuudessa suurin osa tietomurroista tulee yrityksen sisältä", Rasa Siegberg huomauttaa.

Yksi osa tietoturvaa onkin valvonta. Suomessa siitä puhumista pelätään, samoin kuin rangaistusten tai pakotteiden käyttämistä, mutta valvonta ei ole samaa kuin urkinta.

"Valvonta ei tarkoita sähköpostin lukemista, vaan että tarkkaillaan, minkätyyppistä ja missä määrin tietoa sähköpostitse on liikkunut, kuka on poiminut, mihin aikaan ja minne tietoa yritysverkosta. Valvontajärjestelmä voi myös huomauttaa, jos virustorjunta ei ole ajan tasalla ja ehdottaa päivitystä", Pete Nieminen selventää.

Suojauksen voi ostaa palveluna

Ulkoistamisen ja tietoturvan suhteesta ei juuri puhuta. Ulkoistuspalveluja tarjoavan Novon Pete Nieminen on sitä mieltä, että yleensä ulkoistustapauksissa tietoturvan taso nousee.

"Alan toimijat ovat vakiintuneita, ja niiden tietoturvakäytännöt ovat yleensä ulkoistavaa yritystä korkeammalla tasolla."

Onko olemassa vaara, että ulkoistuspalveluntarjoaja joutuu vastaamaan jopa oikeudellisesti mahdollisista tietovuodoista?

"Täysin varmoja ratkaisujahan ei ole olemassakaan. Sopimuksessa voidaan määritellä, että asiat hoidetaan tietyllä tavalla, mutta ei voida luvata, että mitään ei koskaan tapahdu", Nieminen vastaa.

Kustannusten kannalta on oleellista selvittää, mitkä ovat arvokkaimpia tietoja ja mitä niiden suojaaminen maksaa.

"Kun pahimmat uhkat torjutaan, tietoturvan taso nousee dramaattisesti", Tomi Tuominen sanoo.

"Tietoturva tuntuu usein tuottamattomalta investoinnilta. Mutta siinä maksetaan siitä, ettei mitään tapahdu", Pete Nieminen huomauttaa.

Varmuuskopiot pitää olla aina

Tietoturvauhkien todentuessa tärkeintä on saada yritys mahdollisimman pian toimintakuntoiseksi. Virukset on siivottava pikaisesti, kadotettu tieto ja koneiden toimintakyky palautettava.

"Kaikesta on oltava varmuuskopio", Tomi Tuominen huomauttaa.

Miten yritys ja työntekijät sitten saa sitoutumaan kaikkeen edellä mainittuun ja toimimaan ohjeiden mukaan? Parasta sitouttamista on kouluttaminen ja se, että vastuu asiasta on liiketoimintayksiköissä, ei esimerkiksi IT-osastolla.

Koulutus kannattaa järjestää sitten, kun toimintatavat ja -järjestelmät ovat jo olemassa. "Sen on oltava jatkuvaa. Meillä asiaa käsitellään eri näkökulmista kahdesti vuodessa", Tomi Tuominen kertoo.

"Lähes yhtä isoja tietoturvauhkia kuin tässä mainitut asiat on myös se, että yrityksen edustajat puhuvat lentokoneessa varsin huolettomasti yrityksen asioista. Tai että kännykkää käytetään samoihin tarkoituksiin julkisissa kulkuneuvoissa", Petteri Järvinen huomauttaa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Tuskien taival: Kohutun Adrian Solanon MM-hiihto alkoi karmealla tavalla

    2. 2

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    3. 3

      Rökitetylle Anne Bernerille esitetään epäluottamusta – ministerin asemasta äänestetään perjantaina

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Tv-tähden sekava käytös ihmetytti aamu-tv:ssä – oliko muoti-idoli humalassa? Syljeskeli ja selasi puhelintaan, somekansa äimistyi

    6. 6

      Kello 16 suora lähetys Lahdesta – ISTV:n MM-studio käynnissä

    7. 7

      Tarkista tämä iPhone-asetus: Saattaa aiheuttaa yllättävän laskun

    8. 8

      Video: Kajaanin hyppyrimäki räjähti näyttävästi

    9. 9

      Maahanmuuttovirasto karsii vastaanottokeskuksia – katso lista paikkakunnista

    10. 10

      Anu Saagim vastaa Veitola-kohuun – kuittaa asian suorasanaisesti: ”Ihmisellä on heikko itsetunto”

    11. Näytä lisää
    1. 1

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    2. 2

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    3. 3

      Anu Saagim haukkui Maria Veitolaa rumaksi suorassa lähetyksessä – Veitola harmistui studioyleisön reaktiosta: ”Yleisö nauraa ja taputtaa”

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Sudet tarttuivat 7-vuotiaaseen poikaan Ähtärin eläinpuistossa – vammat vakavia

    6. 6

      Brittiaristokraatti Lady Victoria, 40, ilmestyi gaalaan yläosattomissa: Läpikuultava verkkoasu paljasti aivan kaiken: ”Käytännössä alasti”

    7. 7

      Yleinen virhe wc-pöntöllä: Tästä syystä pyttyyn jää helposti ”jarrutusjäljet”

    8. 8

      Lukiolaistytön viattomasta kuvasta paljastui härski yllätys – mokasta kasvoi maailmanlaajuinen someilmiö

    9. 9

      Patrik Laine varasti show’n Torontossa – 30 maalia täyteen

    10. 10

      Kolmen lapsen yh-äidille annettiin tv-sarjassa 30 000 euroa – törsäsi lähes kaiken neljässä viikossa hajuvesiin ja vaatteisiin: ”Olen pettynyt”

    11. Näytä lisää
    1. 1

      Prisman kassamyyjä sai pyörätuolimiehen itkemään Helsingissä – jonossa ollut Jatta riensi apuun: ”Olin niin kiukkuinen”

    2. 2

      MTV: Saara Aalto kärsii kiusallisesta ja kivuliaasta naistentaudista: ”Ei parannuskeinoa”

    3. 3

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    4. 4

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    5. 5

      Stubb opetti Trumpille faktoja Ruotsista – viesti sytytti kiivaan keskustelun

    6. 6

      Tutkijat tekivät pelottavan löydön merenpohjasta 10 kilometrin syvyydestä

    7. 7

      Kanadan hurmuriministeri sai Ivanka Trumpin pasmat sekaisin – flirttaileva kuva leviää vauhdilla

    8. 8

      Yleinen virhe wc-pöntöllä: Tästä syystä pyttyyn jää helposti ”jarrutusjäljet”

    9. 9

      Nokialla pahoinpidelty 17-vuotias tyttö on kuollut

    10. 10

      Donald Trumpilta outo viittaus Ruotsiin: ”Katsokaa, mitä tapahtui eilen illalla Ruotsissa – kuka olisi uskonut?”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Tuskien taival: Kohutun Adrian Solanon MM-hiihto alkoi karmealla tavalla

    2. 2

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    3. 3

      Rökitetylle Anne Bernerille esitetään epäluottamusta – ministerin asemasta äänestetään perjantaina

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Tv-tähden sekava käytös ihmetytti aamu-tv:ssä – oliko muoti-idoli humalassa? Syljeskeli ja selasi puhelintaan, somekansa äimistyi

    6. Näytä lisää
    1. 1

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    2. 2

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    3. 3

      Anu Saagim haukkui Maria Veitolaa rumaksi suorassa lähetyksessä – Veitola harmistui studioyleisön reaktiosta: ”Yleisö nauraa ja taputtaa”

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Sudet tarttuivat 7-vuotiaaseen poikaan Ähtärin eläinpuistossa – vammat vakavia

    6. Näytä lisää
    1. 1

      Prisman kassamyyjä sai pyörätuolimiehen itkemään Helsingissä – jonossa ollut Jatta riensi apuun: ”Olin niin kiukkuinen”

    2. 2

      MTV: Saara Aalto kärsii kiusallisesta ja kivuliaasta naistentaudista: ”Ei parannuskeinoa”

    3. 3

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    4. 4

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    5. 5

      Stubb opetti Trumpille faktoja Ruotsista – viesti sytytti kiivaan keskustelun

    6. Näytä lisää