Lue uutinen mobiilisivustolla

Kyselytutkimus: tietoturvauhat tiedostettu

11.4.2001 14:57 Tietoturva ry:n ja Tampereen yliopiston yhteisessä tutkimuksessa kyseltiin suomalaiyritysten tietoturvasta. Tulosten mukaan tietoturvauhat on tiedostettu melko hyvin. Aukkojakin on: 40 % vastanneista pitää vielä Telnet-portteja auki julkiseen Internetiin.

Tietoturva ry teki yhteistyössä Tampereen yliopiston kanssa syksyllä 2000 kyselytutkimuksen tietoturvasta. Kysely lähetettiin noin 1300 yritykselle eri puolille Suomea. Kelvollisia vastauksia tuli vain 178 ja vastausprosentti jäi näin ollen hieman alle neljääntoista.

- Tutkimus tehtiin kertakyselynä ilman muistutuskirjettä. Tämä selittää pääosin alhaisen vastausprosentin, toteaa tutkimuksen toteuttanut Juhani Paavilainen Tampereen yliopistosta.

Suurimpien yksittäisten tietoturvavahinkojen kustannukset ovat tutkimuksen mukaan merkittäviä. Sekä välittömät että välilliset kustannukset olivat pahimmissa yksittäisissä tapauksissa puolen miljoonan luokkaa. Keskimäärin ottaen tilanne ei ole mitenkään hälyttävä.

- Yhtä PC-konetta kohden tietoturvarikkomusten aiheuttamat kustannukset ovat noin tuhat markkaa vuodessa. Yritysten koko atk-kustannuksista tämä on häviävän pieni osa. Tähän kuitenkin pätee sama kuin tulipaloihinkin: kohdalle sattuessa kyseessä on iso juttu ja sillä on isoja vaikutuksia, Paavilainen toteaa.

Realistinen kuva tietoturvauhista

Ylivoimaisesti yleisimmät havaittujen tietoturvaongelmien syyt olivat yleisyysjärjestyksessä virukset, järjestelmän virheet ja käyttäjän virheet. Muut syyt, kuten salakuuntelu ja ylläpitovirheet ovat selkeästi harvinaisempia. Henkilöstön tietoturvakoulutukseen on siis edelleenkin kannattavaa panostaa.

Paavilainen nostaa esiin salakuuntelutapausten suuren suhteellisen osuuden.

- Salakuuntelutapausten määrä on yllättävänkin suuri. Se on suurempi kuin varsinaisten murtautumisten määrä. Salakuuntelu on teknisesti yksinkertaista: mistä tahansa koneesta saa puolessa tunnissa salakuuntelukoneen asentamalla siihen ohjelmiston, joka kuuntelee kaikkea samassa verkon osassa olevien koneiden liikennettä, Paavilainen kertoo.

Ainoa uhka, jossa Paavilaisen mukaan on uhan aliarvioinnin makua, on järjestäytyneen rikollisuuden tai vakoiluorganisaatioiden uhka. Suojelupoliisi on jo muutaman vuoden ajan varoitellut siitä, että Suomessa harjoitetaan täysin ammattimaista teollisuusvakoilua, eivätkä kyseessä ole pelkät itänaapurin paremmille palkoille pyrkivät entiset tiedustelu-upseerit. Uhka koetaan kuitenkin kovin pieneksi. Tässä kohtaa kannattaa kuitenkin muistaa, että kännykkäänsä baarissa hölöttävä myyntitykki on tietoturvariski siinä missä jokin teknisempikin tekijä.

Mitä ihmettä yritykset tekevät vielä Telnetillä?

Hämmästyttävä yksityiskohta on, että hieman yli 40 % vastanneista yrityksistä pitää vieläkin auki Telnet-terminaalipalveluita ulos Internetiin. Yritysmaailmassa on ilmeisesti jotain suurta tietoturvaviisautta paljon enemmän kuin yliopistomaailmassa, jossa on kantapään kautta opittu telnetin haavoittuvuus.

Telnet lähettää käyttäjän salasanat suojaamattomina sisäänkirjautumisvaiheessa, joten kuka tahansa, joka pääsee kuuntelemaan liikennettä reitillä pääteyhteyden ottajasta keskuskoneeseen, voi poimia käyttäjätunnuksen ja salasanan haltuunsa. Kun turvallisemman ssh:n asentaminen ja käyttö on nykyään todella helppoa, Telnetin käyttöä on enää vaikea puolustella millään.

Poliisille ei raportoida

Poliisille tietoturvaongelmista raportoidaan aniharvoin. Jopa asiakkaille ilmoitetaan tietoturvaongelmista useammin kuin poliisille.

Suurin syy siihen, miksi viranomaisille ei ole raportoitu, on se, että rikkomus katsottiin niin vähäpätöiseksi, että syytä ottaa yhteyttä viranomaisiin ei ole. Toiseksi suurin oli negatiivisen julkisuuden välttäminen ja kolmas näytön puute.

Tyypillisesti tällaisia pieniä rikkeitä ovat työntekijän tekemä luvaton ohjelmistojen kopiointi tai tulokseton palomuurin kolkuttelu.

Tulokset kertovat kuitenkin karua kieltään yritysmaailman ja poliisin asenteiden ja tarpeiden kohtaamattomuudesta. Keskusrikospoliisin tietotekniikkarikosyksikkö painottaa jatkuvasti julkisuudessa sitä, että heidän toimintakykynsä ja -edellytyksensä paranevat sitä enemmän, mitä runsaammin tietoa kentän tapahtumista on käytössä. Tällä hetkellä poliisi arvioi, että vain muutama prosentti tietoturvan rikkomuksista tulee tietoon.

Mahdollinen virhelähde: guru tekee - toimitusjohtaja vastaa

Tutkimuksen toteuttanut Juhani Paavilainen toteaa, että kyselystä jäi uupumaan kysymys, joka olisi verifioinut sen, onko kyselyyn vastannut myös teknisessä mielessä toteuttamassa tietoturva-asioita.

- Pienissä yrityksissä usein on niin, että toimitusjohtaja tai muu johtoryhmän jäsen on muodollisesti vastuussa tietoturvasta, mutta käytännössä suorittava porras tekee kaikki varsinaiset toimenpiteet. On helppo kuvitella, että tietoturvan tasosta voi tällaisessa tapauksessa olla epärealistinen kuva, Paavilainen spekuloi.

Elias Aarnio toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Bankia pyytää Espanjan valtiolta 19:ää miljardia euroa
• Rivitalo palaa Vahdossa