Digitoday

Valikko

Oman väen turvakurssitus unohtuu usein

Julkaistu:

Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.
Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.

Lahjo, pelottele, kiristä ja uhkaile. Tietoturvan kauppaamisessa ovat käytössä lähes samat asiat kuin kasvattamisessa. Tietoturvaa myydään maalaamalla mörköjä - viruksia ja krakkereita - seinille. Oikeasti pelottavimpia mörköjä ovat yrityksen omat työntekijät, jotka käsittelevät tietoa leväperäisesti eivätkä noudata tietoturvaohjeita.

Kukapa tällaisesta kuitenkaan kertoisi julkisuudessa. Paljastuneet tietoturva-aukot ovat tahra imagossa, eikä omia työntekijöitä haluta syyllistää.

"En kerro mitään", virustentorjuntayritys F-Securessa omasta tietoturvasta vastaava Tomi Tuominen vastaa kysymykseen, onko suutarin lapsella kengät eli mitä tunnetut virustorjujat ovat tehneet oman tietoturvansa eteen.

"Lehdet ovat paras tietolähde hyökkääjille. F-Secure on hyökkääjien listan kärkipäässä, koska se olisi komea sulka hattuun", Tuominen sanoo.

"Järjestelmällisyyden puute", nimeää tietotekniikkakouluttaja ja -kirjoittaja Petteri Järvinen yritysten suurimmaksi tietoturvaongelmaksi. Häneltä ilmestyi elokuussa Tietoturva ja yksityisyys -niminen kirja. "Ei ole dokumentaatiota eikä valvontaa, asioihin puututaan, kun ne tulevat eteen eikä suunnitelmallisesti, on kiirettä, välinpitämättömyyttä, osaamattomuutta."

Samaa asiaa toiselta kantilta valottaa johdon tietoturvakonsultti, Esimies ja tietoriskien hallinta -kirjan kirjoittanut Tuija Kyrölä.

"Suurin ongelma on, että yrityksen tietoja käsitellään huolettomasti eikä yrityksessä tiedetä, mikä tieto on suojaamisen arvoisia ja mikä ei. Tieto virtaa esteittä yrityksestä, ellei sille anneta arvoa. Useiden kuukausien ja vuosien työpanos voi joutua yrityksen ulkopuolelle helposti."

"Turvavastaava pitäisi löytyä talon sisältä"

Tietoturva ei tule kuntoon oikeilla laitteilla ja ohjelmilla. Niillä ei ole mitään merkitystä, jos niitä käytetään väärin tai ohjeita ei noudateta.

Useimmiten yrityksissä herätään vasta, kun jotain tapahtuu. Tällainen toiminta on reaktiivista, kun parasta toimintaa olisi proaktiivinen, ennalta ehkäisevä.

Järjestäytynyt tapa aloittaa tietoturvan kuntoon saattaminen on määritellä arvokas tieto ja suunnitella päämäärät ja keinot sen suojaamiseksi. Työ aloitetaan usein konsultin avulla projektinomaisesti, mutta asia ei tule sillä kuntoon.

"Tietoturvatyö ei ole koskaan ohi", Tuija Kyrölä huomauttaa.

"Tietoturvan on oltava talon sisällä. Konsulttia voi käyttää apuna kartoituksessa ja määrittelyssä, mutta omassa organisaatiossa jonkun on potkittava asiaa eteenpäin", Tomi Tuominen huomauttaa.

Alkuvaiheen määrittelyssä pitäisi käydä läpi ne yrityksen tiedot, jotka vaativat suojaamista, sekä keinot niiden suojaamiseen.

"Jos suojaaminen on arvokkaampaa kuin suojattava tieto, homma ei kannata", Novossa tietoturvasta vastaava Pete Nieminen huomauttaa.

Jotta tämä tiedettäisiin, tieto pitäisi luokitella. "Luokitteleminen on erittäin harvinaista, koska se koetaan vaikeaksi", Tuija Kyrölä sanoo.

Raamit yrityksen tai organisaation tietoturvakäytännöille antaa tietoturvapolitiikka työohjeineen. "Mutta koska ne on tarkoitettu henkilöstölle, niitä ei saisi kirjoittaa tietoturvaslangilla eli puhua niissä autentikoinnista ja kiistämättömyydestä. Kuka sellaista jaksaa lukea?"

Sama laite voi olla turvallinen ja turvaton

Sekä sähköisen että esimerkiksi paperimuodossa olevan tiedon suojaaminen lähtee fyysisen ympäristön suojaamisesta - esimerkiksi paloturvallisuudesta ja kulunvalvonnasta. Se tarkoittaa myös tietokoneiden suojaamista fyysisesti asiattomalta pääsyltä niiden luokse; tämä koskee erityisesti kannettavia ja etäkäytön koneita. Jopa kytkimet pitäisi suojata fyysisesti.

"Ellei niitä ole suojattu, kuka tahansa voi käydä laittamassa kannettavansa kiinni yritysverkkoon", verkkolaitevalmistaja Ciscon tietoliikenneasiantuntija Sami Iivarinen sanoo.

Fyysiseen laiteturvaan voi ajatella liittyvän myös sen, että koneen saa käyntiin vain salasanalla. Sovellukset voi lisäksi suojata, samoin dokumentit, jopa kiintolevyn.

Tietoliikenneyhteyksien suojaaminen suojaa verkkoa, yhteyksiä, päätteitä, ohjelmistoja ja dokumentteja. Verkkotason suojauksen avulla voidaan seurata hyökkäyksiä palvelimiin ja esimerkiksi estää virusten leviäminen päätteisiin.

Jopa palomuuri puuttuu monelta

"Laitteet on suunniteltu välittämään liikennettä eli ne ovat konfiguraatioiltaan avoimia. Samaa kytkintä voi käyttää sekä turvallisesti että turvattomasti sen mukaan, miten se on konfiguroitu", Sami Iivarinen muistuttaa.

Iivarista ihmetyttää se, että Suomessa on vielä paljon yrityksiä, joilla ei ole lainkaan palomuuria. "Ja osa ei tiedä, onko."

Verkkolaitteet vaativatkin osaamista myös ostajalta. Vaikka tietotekniikka on ulkoistettu, ostajan on osattava vaatia huolellista palomuurien määrittelyä, reitittimien salasanojen muuttamista ja myös verkon suojaamista sisältä tulevilta hyökkäyksiltä. "Konfiguraatiot on hyvä antaa auditoitaviksi. Itse voi olla omille konfiguraatioilleen sokea", Iivarinen huomauttaa.

VPN-yhteyksiä Iivarinen pitää turvallisina. Jos yhteys on luotetulta koneelta luotettuun kohteeseen salattua tunnelia pitkin, ongelmia ei pitäisi olla, jos salasanat vain ovat niihin oikeutetun ihmisen hallussa.

"Etätyö sinänsä on selvä uhka tietoturvalle. Muuallakin kuin yrityksen tiloissa oleva kone on aina yrityksen omaisuutta, ja sitä pitäisi kohdella sen vaatimalla tavalla", Petteri Järvinen muistuttaa.

Sähköposti jää usein salaamatta

Ohjelmien, sovellusten, dokumenttien ja laitetason turvallisuutta on osittain vaikea erottaa toisistaan. Kaikkien käyttämistä voivat haitata samat tekijät: tiedon epäasianmukainen käyttäminen, toiseksi käyttäjäksi tekeytyminen, tietomurrot, vahingontekomielessä aiheutettu verkon kuormitus ja virukset.

"Sähköpostitse saatetaan lähettää ilman salausta tärkeitä ja luottamuksellisia tietoja, vaikka on sovittu, ettei niitä toimiteta yrityksen ulkopuolelle", Tuija Kyrölä antaa esimerkin ensin mainitusta.

Sähköpostin turvallisuutta voi lisätä ensinnäkin salaamalla viestit. Se on ilmeisesti kuitenkin harvinaista? "Ikävä kyllä", huokaa tuotepäällikkö Rasa Siegberg salaus- ja autentikointituotteita valmistavasta SSH-yhtiöstä.

"Ratkaisuja olisi tarjolla monenlaisia, joista osa on hyvinkin helppoa käyttää. Sähköpostin turvallisuutta voi lisätä joko salakirjoittamalla itse viestit tai salaamalla koko viestiliikenteen. Salaamattomien sähköpostien kaappauksista ei haluta imagohaittojen pelossa puhua. Mekään emme ole lähteneet pelottelulinjalle", hän lisää.

Dokumentteja suojataan, mutta suojaukset ovat helposti purettavissa. "Pdf:n suojauksen saa sekunnissa auki", Pete Nieminen sanoo.

Seurantaa ja pakotteita käyttöön

Monelle tietoturvan puute ja virukset ovat sama asia. Useimmiten sähköpostin, mutta myös Web-selailun kautta tulevat virukset voivat tuottaa paljon tuhoa, mutta se on kuitenkin sivuseikka loppuvaikutuksen kannalta: kaikki tietoturvauhat sisältävät riskin, että yrityksen toiminta lamaantuu.

Tomi Tuominen kertoo yrityksestä, jonka 17 matkamikroon pääsi flash-muistin päälle kirjoittautuva virus. Sen jälkeen koneita ei enää saanut auki.

Virusten kirjoittajat ahkeroivat viime vuonna; tänä vuonna se ei enää ole muotia. Virustorjuntaa moititaan siitä, että sekin on reaktiivista toimintaa. "Kolmesataa tunnetuinta Microsoft-pohjaista virusta aiheuttaa 99 prosenttia ongelmista eli suurin osa tunnetaan", Tomi Tuominen korjaa.

Tuntemattomiakin voi arvailla viruksiksi. Virustorjuntaohjelma tarkkailee liikennettä, ja jos dokumentissa on viruksen kaltaista koodinpätkää, ohjelma laskee todennäköisyyden sille, että kyseessä on virus. Jos todennäköisyys on suuri, viruksen matka katkeaa.

Tuominen ei luottaisi pelkkään verkkotason salaukseen. "Sehän ei suojaa esimerkiksi CD-ROMien mukana tulevilta viruksilta."

Market-Vision ja IDC:n mukaan maailmassa 95 prosenttia yrityksistä on joutunut hyökkäyksen kohteeksi - joko yrityksen sisältä tai ulkoa.

"Suuret yritykset olettavat, että sisäverkko on turvassa, vaikka todellisuudessa suurin osa tietomurroista tulee yrityksen sisältä", Rasa Siegberg huomauttaa.

Yksi osa tietoturvaa onkin valvonta. Suomessa siitä puhumista pelätään, samoin kuin rangaistusten tai pakotteiden käyttämistä, mutta valvonta ei ole samaa kuin urkinta.

"Valvonta ei tarkoita sähköpostin lukemista, vaan että tarkkaillaan, minkätyyppistä ja missä määrin tietoa sähköpostitse on liikkunut, kuka on poiminut, mihin aikaan ja minne tietoa yritysverkosta. Valvontajärjestelmä voi myös huomauttaa, jos virustorjunta ei ole ajan tasalla ja ehdottaa päivitystä", Pete Nieminen selventää.

Suojauksen voi ostaa palveluna

Ulkoistamisen ja tietoturvan suhteesta ei juuri puhuta. Ulkoistuspalveluja tarjoavan Novon Pete Nieminen on sitä mieltä, että yleensä ulkoistustapauksissa tietoturvan taso nousee.

"Alan toimijat ovat vakiintuneita, ja niiden tietoturvakäytännöt ovat yleensä ulkoistavaa yritystä korkeammalla tasolla."

Onko olemassa vaara, että ulkoistuspalveluntarjoaja joutuu vastaamaan jopa oikeudellisesti mahdollisista tietovuodoista?

"Täysin varmoja ratkaisujahan ei ole olemassakaan. Sopimuksessa voidaan määritellä, että asiat hoidetaan tietyllä tavalla, mutta ei voida luvata, että mitään ei koskaan tapahdu", Nieminen vastaa.

Kustannusten kannalta on oleellista selvittää, mitkä ovat arvokkaimpia tietoja ja mitä niiden suojaaminen maksaa.

"Kun pahimmat uhkat torjutaan, tietoturvan taso nousee dramaattisesti", Tomi Tuominen sanoo.

"Tietoturva tuntuu usein tuottamattomalta investoinnilta. Mutta siinä maksetaan siitä, ettei mitään tapahdu", Pete Nieminen huomauttaa.

Varmuuskopiot pitää olla aina

Tietoturvauhkien todentuessa tärkeintä on saada yritys mahdollisimman pian toimintakuntoiseksi. Virukset on siivottava pikaisesti, kadotettu tieto ja koneiden toimintakyky palautettava.

"Kaikesta on oltava varmuuskopio", Tomi Tuominen huomauttaa.

Miten yritys ja työntekijät sitten saa sitoutumaan kaikkeen edellä mainittuun ja toimimaan ohjeiden mukaan? Parasta sitouttamista on kouluttaminen ja se, että vastuu asiasta on liiketoimintayksiköissä, ei esimerkiksi IT-osastolla.

Koulutus kannattaa järjestää sitten, kun toimintatavat ja -järjestelmät ovat jo olemassa. "Sen on oltava jatkuvaa. Meillä asiaa käsitellään eri näkökulmista kahdesti vuodessa", Tomi Tuominen kertoo.

"Lähes yhtä isoja tietoturvauhkia kuin tässä mainitut asiat on myös se, että yrityksen edustajat puhuvat lentokoneessa varsin huolettomasti yrityksen asioista. Tai että kännykkää käytetään samoihin tarkoituksiin julkisissa kulkuneuvoissa", Petteri Järvinen huomauttaa.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Kris Jennerin paljastavasta salikuvasta löytyi nolo moka: kuvanmuokkaus meni pahasti pieleen – jopa fanit kritisoivat: ”Surullista!”

    2. 2

      Leskiprinsessa ja 7 tytärtä pitivät orjia luksushotellissa – tuomittujen palvelusväkeä pidettiin epäinhimillisissä olosuhteissa

    3. 3

      Pirullisen vaikea tarkkuustesti testaa hoksottimesi

    4. 4

      Unohda perinteinen lankku! Nämä keskivartaloliikkeet ovat paljon parempia selälle

    5. 5

      Erikoinen villitys suomalaislaulajan hittikappaleesta: kymmenet tatuoivat yhden sanaparin iholleen – katso kuvat

    6. 6

      Pohjoiskorealainen sotilas loikkasi rajajoen yli etelään – sitoi itseensä styroksipaloja pysyäkseen pinnalla

    7. 7

      Isis suoritti äärimmäisen julmia kostoiskuja – osoitus naisten ja lasten kammottavista kärsimyksistä saarretussa Mosulissa

    8. 8

      Lentoemäntä Martinalla on Euroopan suurimmat rinnat – haaveilee nyt yhtä äärimmäisestä pepusta: kirurgeilta täystyrmäys

    9. 9

      Taas draamaa Bakun F1-harjoituksissa – nyt syttyi Renault’n auto palamaan

    10. 10

      Nylon Beatin Jonna muistelee outoa välikohtausta – vieras mies tylytti taksitolpalla: ”Täällä yömyöhään humalassa heilut...”

    11. Näytä lisää
    1. 1

      Lentoemäntä Martinalla on Euroopan suurimmat rinnat – haaveilee nyt yhtä äärimmäisestä pepusta: kirurgeilta täystyrmäys

    2. 2

      Kesäyö innosti pariskunnan niin villiin seksiin, ettei tuhoilta vältytty – leirintäalueen johtaja kertoo näkymästä, joka ei unohdu

    3. 3

      Suviseurojen ruokalista julki – ovatko tässä Suomen halvimmat ”festariruoat”?

    4. 4

      Aku Hirviniemeltä härski vastaisku Katri Sorsan seksielämäpaljastukseen: ”Paikka, jossa masturboin...”

    5. 5

      Yleisö hiljeni ja odotti Nummirockissa: Se hetki, kun mies kosii kesken suosikkibändin keikan – ”Tiesin kyllä mitä vastaan”

    6. 6

      Miro Heiskanen teki kiekkohistoriaa – NHL:n varaustilaisuudessa kaikkien aikojen suomalaisvuosi

    7. 7

      Kouvolalainen Markku on käynyt Pohjois-Koreassa yli 30 kertaa auttamassa – Kuvat suljetusta diktatuurista kertovat paljon

    8. 8

      Tältä näytti Alkon kassalla juuri ennen sulkemista juhannusaattona – ”Kyllä niitä melkein joka juhannus tulee”

    9. 9

      Ykköskierroksella varattu suomalaislupaus pettyi – ”Kaikki ei napsahtanut kohdilleen”

    10. 10

      Räikkönen jätti toimittajan seisomaan – käveli pois kesken kysymyksen

    11. Näytä lisää
    1. 1

      Kesäyö innosti pariskunnan niin villiin seksiin, ettei tuhoilta vältytty – leirintäalueen johtaja kertoo näkymästä, joka ei unohdu

    2. 2

      Lentoemännän yksinkertainen vessakikka toimii yhtä varmasti myös kotona

    3. 3

      8 naista kertoo, millaiset seksiehdotukset oikeasti toimivat: ”Se on varma keino”

    4. 4

      Kasperi Kapanen toi kanadalaisrakkaansa Suomeen – 18-vuotias Annika käänsi katseita Kuopion rannoilla pepun paljastavissa bikineissä

    5. 5

      Martina Aitolehden kipujen syy selvisi: Lääkäriltä tyly tuomio – ”Kyyneleethän siinä pääsi”

    6. 6

      Entinen miljonääri luopui kaikesta ja muutti hökkeliin autiolle saarelle – 20 vuotta eikä ole katunut päivääkään

    7. 7

      Kotihälytyskeikalla odotti näky, joka riipaisi jopa vanhan sosiaalityöntekijän sydäntä – viranomaiset vetoavat juhannusjuhlijoihin

    8. 8

      23 asiaa, jotka mullistuvat uudessa alkoholilaissa – kapakoiden aukioloajat, neloskalja kauppoihin...

    9. 9

      Metsämustikoissa voi piillä vaarallinen loinen – onko syytä huoleen?

    10. 10

      Saako 15-vuotias olla yötä tyttöystävän luona? Psykologi: ”Vanhemmuuteen kuuluu estää yhdessä yöpymiset”

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Kris Jennerin paljastavasta salikuvasta löytyi nolo moka: kuvanmuokkaus meni pahasti pieleen – jopa fanit kritisoivat: ”Surullista!”

    2. 2

      Leskiprinsessa ja 7 tytärtä pitivät orjia luksushotellissa – tuomittujen palvelusväkeä pidettiin epäinhimillisissä olosuhteissa

    3. 3

      Pirullisen vaikea tarkkuustesti testaa hoksottimesi

    4. 4

      Unohda perinteinen lankku! Nämä keskivartaloliikkeet ovat paljon parempia selälle

    5. 5

      Erikoinen villitys suomalaislaulajan hittikappaleesta: kymmenet tatuoivat yhden sanaparin iholleen – katso kuvat

    6. Näytä lisää
    1. 1

      Lentoemäntä Martinalla on Euroopan suurimmat rinnat – haaveilee nyt yhtä äärimmäisestä pepusta: kirurgeilta täystyrmäys

    2. 2

      Kesäyö innosti pariskunnan niin villiin seksiin, ettei tuhoilta vältytty – leirintäalueen johtaja kertoo näkymästä, joka ei unohdu

    3. 3

      Suviseurojen ruokalista julki – ovatko tässä Suomen halvimmat ”festariruoat”?

    4. 4

      Aku Hirviniemeltä härski vastaisku Katri Sorsan seksielämäpaljastukseen: ”Paikka, jossa masturboin...”

    5. 5

      Yleisö hiljeni ja odotti Nummirockissa: Se hetki, kun mies kosii kesken suosikkibändin keikan – ”Tiesin kyllä mitä vastaan”

    6. Näytä lisää
    1. 1

      Kesäyö innosti pariskunnan niin villiin seksiin, ettei tuhoilta vältytty – leirintäalueen johtaja kertoo näkymästä, joka ei unohdu

    2. 2

      Lentoemännän yksinkertainen vessakikka toimii yhtä varmasti myös kotona

    3. 3

      8 naista kertoo, millaiset seksiehdotukset oikeasti toimivat: ”Se on varma keino”

    4. 4

      Kasperi Kapanen toi kanadalaisrakkaansa Suomeen – 18-vuotias Annika käänsi katseita Kuopion rannoilla pepun paljastavissa bikineissä

    5. 5

      Martina Aitolehden kipujen syy selvisi: Lääkäriltä tyly tuomio – ”Kyyneleethän siinä pääsi”

    6. Näytä lisää