Digitoday

Oman väen turvakurssitus unohtuu usein

Julkaistu:

Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.
Käyttäjäyhteisöjen tietoturva kohenisi dramaattisesti pelkällä tärkeysjärjestyksellä: kun yksi viidesosa ongelmista korjataan, saavutetaan neljä viidesosaa tavoitellusta suojatasosta.

Lahjo, pelottele, kiristä ja uhkaile. Tietoturvan kauppaamisessa ovat käytössä lähes samat asiat kuin kasvattamisessa. Tietoturvaa myydään maalaamalla mörköjä - viruksia ja krakkereita - seinille. Oikeasti pelottavimpia mörköjä ovat yrityksen omat työntekijät, jotka käsittelevät tietoa leväperäisesti eivätkä noudata tietoturvaohjeita.

Kukapa tällaisesta kuitenkaan kertoisi julkisuudessa. Paljastuneet tietoturva-aukot ovat tahra imagossa, eikä omia työntekijöitä haluta syyllistää.

"En kerro mitään", virustentorjuntayritys F-Securessa omasta tietoturvasta vastaava Tomi Tuominen vastaa kysymykseen, onko suutarin lapsella kengät eli mitä tunnetut virustorjujat ovat tehneet oman tietoturvansa eteen.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY

"Lehdet ovat paras tietolähde hyökkääjille. F-Secure on hyökkääjien listan kärkipäässä, koska se olisi komea sulka hattuun", Tuominen sanoo.

"Järjestelmällisyyden puute", nimeää tietotekniikkakouluttaja ja -kirjoittaja Petteri Järvinen yritysten suurimmaksi tietoturvaongelmaksi. Häneltä ilmestyi elokuussa Tietoturva ja yksityisyys -niminen kirja. "Ei ole dokumentaatiota eikä valvontaa, asioihin puututaan, kun ne tulevat eteen eikä suunnitelmallisesti, on kiirettä, välinpitämättömyyttä, osaamattomuutta."

Samaa asiaa toiselta kantilta valottaa johdon tietoturvakonsultti, Esimies ja tietoriskien hallinta -kirjan kirjoittanut Tuija Kyrölä.

"Suurin ongelma on, että yrityksen tietoja käsitellään huolettomasti eikä yrityksessä tiedetä, mikä tieto on suojaamisen arvoisia ja mikä ei. Tieto virtaa esteittä yrityksestä, ellei sille anneta arvoa. Useiden kuukausien ja vuosien työpanos voi joutua yrityksen ulkopuolelle helposti."

"Turvavastaava pitäisi löytyä talon sisältä"

Tietoturva ei tule kuntoon oikeilla laitteilla ja ohjelmilla. Niillä ei ole mitään merkitystä, jos niitä käytetään väärin tai ohjeita ei noudateta.

Useimmiten yrityksissä herätään vasta, kun jotain tapahtuu. Tällainen toiminta on reaktiivista, kun parasta toimintaa olisi proaktiivinen, ennalta ehkäisevä.

Järjestäytynyt tapa aloittaa tietoturvan kuntoon saattaminen on määritellä arvokas tieto ja suunnitella päämäärät ja keinot sen suojaamiseksi. Työ aloitetaan usein konsultin avulla projektinomaisesti, mutta asia ei tule sillä kuntoon.

"Tietoturvatyö ei ole koskaan ohi", Tuija Kyrölä huomauttaa.

"Tietoturvan on oltava talon sisällä. Konsulttia voi käyttää apuna kartoituksessa ja määrittelyssä, mutta omassa organisaatiossa jonkun on potkittava asiaa eteenpäin", Tomi Tuominen huomauttaa.

Alkuvaiheen määrittelyssä pitäisi käydä läpi ne yrityksen tiedot, jotka vaativat suojaamista, sekä keinot niiden suojaamiseen.

"Jos suojaaminen on arvokkaampaa kuin suojattava tieto, homma ei kannata", Novossa tietoturvasta vastaava Pete Nieminen huomauttaa.

Jotta tämä tiedettäisiin, tieto pitäisi luokitella. "Luokitteleminen on erittäin harvinaista, koska se koetaan vaikeaksi", Tuija Kyrölä sanoo.

Raamit yrityksen tai organisaation tietoturvakäytännöille antaa tietoturvapolitiikka työohjeineen. "Mutta koska ne on tarkoitettu henkilöstölle, niitä ei saisi kirjoittaa tietoturvaslangilla eli puhua niissä autentikoinnista ja kiistämättömyydestä. Kuka sellaista jaksaa lukea?"

Sama laite voi olla turvallinen ja turvaton

Sekä sähköisen että esimerkiksi paperimuodossa olevan tiedon suojaaminen lähtee fyysisen ympäristön suojaamisesta - esimerkiksi paloturvallisuudesta ja kulunvalvonnasta. Se tarkoittaa myös tietokoneiden suojaamista fyysisesti asiattomalta pääsyltä niiden luokse; tämä koskee erityisesti kannettavia ja etäkäytön koneita. Jopa kytkimet pitäisi suojata fyysisesti.

"Ellei niitä ole suojattu, kuka tahansa voi käydä laittamassa kannettavansa kiinni yritysverkkoon", verkkolaitevalmistaja Ciscon tietoliikenneasiantuntija Sami Iivarinen sanoo.

Fyysiseen laiteturvaan voi ajatella liittyvän myös sen, että koneen saa käyntiin vain salasanalla. Sovellukset voi lisäksi suojata, samoin dokumentit, jopa kiintolevyn.

Tietoliikenneyhteyksien suojaaminen suojaa verkkoa, yhteyksiä, päätteitä, ohjelmistoja ja dokumentteja. Verkkotason suojauksen avulla voidaan seurata hyökkäyksiä palvelimiin ja esimerkiksi estää virusten leviäminen päätteisiin.

Jopa palomuuri puuttuu monelta

"Laitteet on suunniteltu välittämään liikennettä eli ne ovat konfiguraatioiltaan avoimia. Samaa kytkintä voi käyttää sekä turvallisesti että turvattomasti sen mukaan, miten se on konfiguroitu", Sami Iivarinen muistuttaa.

Iivarista ihmetyttää se, että Suomessa on vielä paljon yrityksiä, joilla ei ole lainkaan palomuuria. "Ja osa ei tiedä, onko."

Verkkolaitteet vaativatkin osaamista myös ostajalta. Vaikka tietotekniikka on ulkoistettu, ostajan on osattava vaatia huolellista palomuurien määrittelyä, reitittimien salasanojen muuttamista ja myös verkon suojaamista sisältä tulevilta hyökkäyksiltä. "Konfiguraatiot on hyvä antaa auditoitaviksi. Itse voi olla omille konfiguraatioilleen sokea", Iivarinen huomauttaa.

VPN-yhteyksiä Iivarinen pitää turvallisina. Jos yhteys on luotetulta koneelta luotettuun kohteeseen salattua tunnelia pitkin, ongelmia ei pitäisi olla, jos salasanat vain ovat niihin oikeutetun ihmisen hallussa.

"Etätyö sinänsä on selvä uhka tietoturvalle. Muuallakin kuin yrityksen tiloissa oleva kone on aina yrityksen omaisuutta, ja sitä pitäisi kohdella sen vaatimalla tavalla", Petteri Järvinen muistuttaa.

Sähköposti jää usein salaamatta

Ohjelmien, sovellusten, dokumenttien ja laitetason turvallisuutta on osittain vaikea erottaa toisistaan. Kaikkien käyttämistä voivat haitata samat tekijät: tiedon epäasianmukainen käyttäminen, toiseksi käyttäjäksi tekeytyminen, tietomurrot, vahingontekomielessä aiheutettu verkon kuormitus ja virukset.

"Sähköpostitse saatetaan lähettää ilman salausta tärkeitä ja luottamuksellisia tietoja, vaikka on sovittu, ettei niitä toimiteta yrityksen ulkopuolelle", Tuija Kyrölä antaa esimerkin ensin mainitusta.

Sähköpostin turvallisuutta voi lisätä ensinnäkin salaamalla viestit. Se on ilmeisesti kuitenkin harvinaista? "Ikävä kyllä", huokaa tuotepäällikkö Rasa Siegberg salaus- ja autentikointituotteita valmistavasta SSH-yhtiöstä.

"Ratkaisuja olisi tarjolla monenlaisia, joista osa on hyvinkin helppoa käyttää. Sähköpostin turvallisuutta voi lisätä joko salakirjoittamalla itse viestit tai salaamalla koko viestiliikenteen. Salaamattomien sähköpostien kaappauksista ei haluta imagohaittojen pelossa puhua. Mekään emme ole lähteneet pelottelulinjalle", hän lisää.

Dokumentteja suojataan, mutta suojaukset ovat helposti purettavissa. "Pdf:n suojauksen saa sekunnissa auki", Pete Nieminen sanoo.

Seurantaa ja pakotteita käyttöön

Monelle tietoturvan puute ja virukset ovat sama asia. Useimmiten sähköpostin, mutta myös Web-selailun kautta tulevat virukset voivat tuottaa paljon tuhoa, mutta se on kuitenkin sivuseikka loppuvaikutuksen kannalta: kaikki tietoturvauhat sisältävät riskin, että yrityksen toiminta lamaantuu.

Tomi Tuominen kertoo yrityksestä, jonka 17 matkamikroon pääsi flash-muistin päälle kirjoittautuva virus. Sen jälkeen koneita ei enää saanut auki.

Virusten kirjoittajat ahkeroivat viime vuonna; tänä vuonna se ei enää ole muotia. Virustorjuntaa moititaan siitä, että sekin on reaktiivista toimintaa. "Kolmesataa tunnetuinta Microsoft-pohjaista virusta aiheuttaa 99 prosenttia ongelmista eli suurin osa tunnetaan", Tomi Tuominen korjaa.

Tuntemattomiakin voi arvailla viruksiksi. Virustorjuntaohjelma tarkkailee liikennettä, ja jos dokumentissa on viruksen kaltaista koodinpätkää, ohjelma laskee todennäköisyyden sille, että kyseessä on virus. Jos todennäköisyys on suuri, viruksen matka katkeaa.

Tuominen ei luottaisi pelkkään verkkotason salaukseen. "Sehän ei suojaa esimerkiksi CD-ROMien mukana tulevilta viruksilta."

Market-Vision ja IDC:n mukaan maailmassa 95 prosenttia yrityksistä on joutunut hyökkäyksen kohteeksi - joko yrityksen sisältä tai ulkoa.

"Suuret yritykset olettavat, että sisäverkko on turvassa, vaikka todellisuudessa suurin osa tietomurroista tulee yrityksen sisältä", Rasa Siegberg huomauttaa.

Yksi osa tietoturvaa onkin valvonta. Suomessa siitä puhumista pelätään, samoin kuin rangaistusten tai pakotteiden käyttämistä, mutta valvonta ei ole samaa kuin urkinta.

"Valvonta ei tarkoita sähköpostin lukemista, vaan että tarkkaillaan, minkätyyppistä ja missä määrin tietoa sähköpostitse on liikkunut, kuka on poiminut, mihin aikaan ja minne tietoa yritysverkosta. Valvontajärjestelmä voi myös huomauttaa, jos virustorjunta ei ole ajan tasalla ja ehdottaa päivitystä", Pete Nieminen selventää.

Suojauksen voi ostaa palveluna

Ulkoistamisen ja tietoturvan suhteesta ei juuri puhuta. Ulkoistuspalveluja tarjoavan Novon Pete Nieminen on sitä mieltä, että yleensä ulkoistustapauksissa tietoturvan taso nousee.

"Alan toimijat ovat vakiintuneita, ja niiden tietoturvakäytännöt ovat yleensä ulkoistavaa yritystä korkeammalla tasolla."

Onko olemassa vaara, että ulkoistuspalveluntarjoaja joutuu vastaamaan jopa oikeudellisesti mahdollisista tietovuodoista?

"Täysin varmoja ratkaisujahan ei ole olemassakaan. Sopimuksessa voidaan määritellä, että asiat hoidetaan tietyllä tavalla, mutta ei voida luvata, että mitään ei koskaan tapahdu", Nieminen vastaa.

Kustannusten kannalta on oleellista selvittää, mitkä ovat arvokkaimpia tietoja ja mitä niiden suojaaminen maksaa.

"Kun pahimmat uhkat torjutaan, tietoturvan taso nousee dramaattisesti", Tomi Tuominen sanoo.

"Tietoturva tuntuu usein tuottamattomalta investoinnilta. Mutta siinä maksetaan siitä, ettei mitään tapahdu", Pete Nieminen huomauttaa.

Varmuuskopiot pitää olla aina

Tietoturvauhkien todentuessa tärkeintä on saada yritys mahdollisimman pian toimintakuntoiseksi. Virukset on siivottava pikaisesti, kadotettu tieto ja koneiden toimintakyky palautettava.

"Kaikesta on oltava varmuuskopio", Tomi Tuominen huomauttaa.

Miten yritys ja työntekijät sitten saa sitoutumaan kaikkeen edellä mainittuun ja toimimaan ohjeiden mukaan? Parasta sitouttamista on kouluttaminen ja se, että vastuu asiasta on liiketoimintayksiköissä, ei esimerkiksi IT-osastolla.

Koulutus kannattaa järjestää sitten, kun toimintatavat ja -järjestelmät ovat jo olemassa. "Sen on oltava jatkuvaa. Meillä asiaa käsitellään eri näkökulmista kahdesti vuodessa", Tomi Tuominen kertoo.

"Lähes yhtä isoja tietoturvauhkia kuin tässä mainitut asiat on myös se, että yrityksen edustajat puhuvat lentokoneessa varsin huolettomasti yrityksen asioista. Tai että kännykkää käytetään samoihin tarkoituksiin julkisissa kulkuneuvoissa", Petteri Järvinen huomauttaa.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Viattomaksi tarkoitettu perhepotretti lomalta muuttui hävyttömäksi – tajuatko, mitä tapahtui? Kuva leviää vauhdilla

    2. 2

      Puukotus: Näin tapahtumat Vaasassa etenivät – epäilty 15-vuotias poistui kotoa riidan jälkeen

    3. 3

      Tallinnan satamassa on paikka, joka on varkaiden suosiossa – näissä kohteissa suomalainen tulee todennäköisimmin putsatuksi

    4. 4

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    5. 5

      Metsästysporukka teki pilan kokeneelle hirvimiehelle – nettiin ladattu video leviää kulovalkean tavoin

    6. 6

      Tämä asiakirja paljasti tulokikkailun – Päivi Lipponen syrjään toimitusjohtajan paikalta

    7. 7

      Anni, 29, joutuu kuulemaan hävyttömiä kommentteja sekä miehiltä että naisilta – ”Tahtoisin upottaa naamani noihin munkkeihin”

    8. 8

      CIA-johtaja: Pohjois-Korea lähellä ”viimeistä vaihetta” – valmius ydiniskuun ehkä jo muutamassa kuukaudessa

    9. 9

      Nämä seksiväitteet sinäkin olet varmasti kuullut – mutta ne eivät ole totta

    10. 10

      Ruostumattomaan teräkseen jää helposti tahroja – verraton siivousvinkki pitää keittiön kiiltävänä

    11. Näytä lisää
    1. 1

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    2. 2

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    3. 3

      Jyri lähetti viestin tytölle Brasiliassa – meni 30 sekuntia ja mies sai avaimet käteen, ilmaisen asunnon ja käskyn ruokkia kissa

    4. 4

      Pohjois-Korealta uusi varoitus Yhdysvalloille oudossa kirjeessä: ”Äärimmäinen uhkaus tuhota koko maailma”

    5. 5

      Miljonäärin 20-vuotias tytär ajoi Lexuksen väkijoukkoon Ukrainassa – viisi kuoli, kuusi loukkaantui, katu kuin ”sotatanner”

    6. 6

      Törkyvideolla esiintyvä Niki Juusela pettyi raskaasti ystäväporukkaansa – ”Luottamus on katkennut”

    7. 7

      Kovia väitteitä K-Supermarketin palvelutiskin ruuasta ja pyllylle taputtelusta – kauppias irtisanoutui yllättäen

    8. 8

      Ainutlaatuinen video paljastaa Pohjois-Korean pääkaupungista näkymiä, joita ei ole ennen näytetty

    9. 9

      Olli Lindholmin ja ex-vaimon ero oli raastava: ”Lopulta mitään ei ollut tehtävissä”

    10. 10

      British Airways pyysi anteeksi – koneessa ällöttävä yllätys, nukkuville matkustajille puremia

    11. Näytä lisää
    1. 1

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    2. 2

      Huomaatko erikoisen yksityiskohdan? 19-vuotiaan Lisan viaton bikinikuva kummastuttaa Instagramissa

    3. 3

      Tutut liikennemerkit muuttuvat sukupuolineutraaleiksi – katso kuvat!

    4. 4

      Onko tässä erikoisin hääkuva ikinä? Kreikkalaiskappeli kielsi ulkomaalaisparien häät rivon kuvan seurauksena

    5. 5

      Aku Hirviniemi katosi vuosi sitten äkisti julkisuudesta – nyt hän kertoo, mitä silloin tapahtui: ”Tuijotin vain tyhjyyteen”

    6. 6

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    7. 7

      Aku Hirviniemi puhuu hänen ja Niina Lahtisen erosta – tyttären sanat merkitsivät paljon

    8. 8

      Madonnaa, 59, syytetään räikeästä kuvanmuokkauksesta – tuoreet kuvat kertovat totuuden: ”Tämä on jo noloa”

    9. 9

      Matti Ahde kertoo sairaudestaan ja yhä jatkuvista hoidoista – ”Tilanne on vakava”

    10. 10

      Presidentti Niinistö ärähti ideologisesti työttömille: ”Se, että asiaa mainostetaan...”

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Viattomaksi tarkoitettu perhepotretti lomalta muuttui hävyttömäksi – tajuatko, mitä tapahtui? Kuva leviää vauhdilla

    2. 2

      Puukotus: Näin tapahtumat Vaasassa etenivät – epäilty 15-vuotias poistui kotoa riidan jälkeen

    3. 3

      Tallinnan satamassa on paikka, joka on varkaiden suosiossa – näissä kohteissa suomalainen tulee todennäköisimmin putsatuksi

    4. 4

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    5. 5

      Metsästysporukka teki pilan kokeneelle hirvimiehelle – nettiin ladattu video leviää kulovalkean tavoin

    6. Näytä lisää
    1. 1

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    2. 2

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    3. 3

      Jyri lähetti viestin tytölle Brasiliassa – meni 30 sekuntia ja mies sai avaimet käteen, ilmaisen asunnon ja käskyn ruokkia kissa

    4. 4

      Pohjois-Korealta uusi varoitus Yhdysvalloille oudossa kirjeessä: ”Äärimmäinen uhkaus tuhota koko maailma”

    5. 5

      Miljonäärin 20-vuotias tytär ajoi Lexuksen väkijoukkoon Ukrainassa – viisi kuoli, kuusi loukkaantui, katu kuin ”sotatanner”

    6. Näytä lisää
    1. 1

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    2. 2

      Huomaatko erikoisen yksityiskohdan? 19-vuotiaan Lisan viaton bikinikuva kummastuttaa Instagramissa

    3. 3

      Tutut liikennemerkit muuttuvat sukupuolineutraaleiksi – katso kuvat!

    4. 4

      Onko tässä erikoisin hääkuva ikinä? Kreikkalaiskappeli kielsi ulkomaalaisparien häät rivon kuvan seurauksena

    5. 5

      Aku Hirviniemi katosi vuosi sitten äkisti julkisuudesta – nyt hän kertoo, mitä silloin tapahtui: ”Tuijotin vain tyhjyyteen”

    6. Näytä lisää