Lue uutinen mobiilisivustolla

Ei oppi ojaan kaada

12.4.2001 14:43 Vaikka yrityksen tietoturvasta puhuttaessa uhka näyttäisi tulevan ulkoapäin, suurin riski tulee itse asiassa yhtiön sisältä. Työntekijöiden osuus yrityksen tietoturvaongelmien välttämisessä on suurempi kuin minkään muun yksittäisen tekijän.

Rikollisia suuremman ongelmaryhmän muodostavat varomattomat.

Parhaastakaan tietoturvajärjestelmästä ei ole mitään hyötyä yritykselle, jonka henkilökunta omalla toiminnallaan tekee tyhjiksi kaikki yritykset estää tietomurrot tai vaikkapa virushyökkäykset.

FBI:n ja Computer Security Instituten pari vuotta sitten tekemässä tutkimuksessa runsas kolmannes vastanneista yrityksistä ilmoitti joutuneensa useiden sellaisten tietomurtojen kohteeksi, joiden katsottiin aiheutuneen oman väen toiminnasta. Näissä tapauksissa oli yleensä kyse siitä, että henkilökuntaan kuuluvat olivat tietämättään vaarantaneet yrityksen tietoturvan.

Muutama viikko sitten ilmestyi tietokonerikollisuutta tutkivan Communications Management Associationin tutkimus. Kyberrikollisuutta Britanniassa kartoittava tutkimus kyllä osoitti hyvin selvästi, että alan rikollisuuden lisääntyminen on tiedostettu yritysmaailmassa. Samalla siitä kuitenkin käy ilmi myös se, että ainakin saarivaltiossa suuryritykset ovat puutteellisesti valmistautuneet tietorikollisuuden maihinnousuun.

Silti yritysten luulisi kiinnostuvan aiheesta huomattavasti nykyistä enemmän, etenkin kun viime vuosina internet on vetänyt myös sellaisia yhtiöitä, joiden toimialaan tietotekniikka ei aiemmin kuulunut millään tavoin.

Suurin vaara näyttää siis vaanivan yrityksen sisällä. Yleensä kyse ei ole rikollisuudesta vaan varomattomuudesta.

Työntekijät, joita ei ole opetettu ottamaan huomiooon edes kaikkein perustavimpia tietoturvaan vaikuttavia seikkoja, eivät kaikella todennäköisyydellä osaa varoa ratkaisevalla hetkellä. Siksi voisikin luulla, että työntekijöille annettava tietoturvakoulutus olisi työnantajien muistilistoilla isoilla kirjaimilla tekstattuna ja huutomerkeillä ryyditettynä. Toistaiseksi näin ei kuitenkaan ole.

Turvapolitiikan kevätsiivous

Monelle työntekijälle kaikki tietoturvaan liittyvä on jotakin kaukaista, sellaista, mistä ne teknisen tuen redbullnörtit kuitenkin viime kädessä pitävät huolen. Miten sitten työnantajan tulisi menetellä varmistaakseen, ettei tietoturvalipsahdusta pääsisi tapahtumaan omassa leirissä?

Ensimmäinen askel on kaiketi luoda selkeät suuntaviivat sille, miten yhtiön tietoturvaa ryhdytään parantamaan. Tämä kokonaissuunnitelma iskostetaan sitten työntekijöiden mieliin tehokkaalla ja jatkuvalla koulutuksella - tai sitten siitä voi taitella lennokkeja heiteltäväksi siltä varalta, että aika tulee pitkäksi palvelunestohyökkäyksen kaadettua järjestelmän. Idea on, että jokainen yhtiön työntekijä tietää, miten toimia.

Internetin ja sähköpostin käytölle luodaan toimintaohjeet, joissa korostetaan turvallisuutta, vaikka sitten jouhevan surffailun kustannuksella. Esimerkiksi hupailumielellä ladatut mpeg-videoleikkeet ovat usein isokokoisia ja ne verottavat verkon kapasiteettia. Kun niitä vielä lähetellään edelleen ympäri toimistoa, kuormitus voi kasvaa huomattavasti ja ainakin yhtiön kannalta aivan turhaan. Virusriskiä lisäävät tietysti myös esimerkiksi ladattavat exe-tiedostot ja skriptikoodi.

Sopiva annos tietoturvaa

Vaikka käyttäjillä ei olisi aavistustakaan vaikkapa siitä, millaiset asetukset selaimessa tulisi olla, heidän olisi hyvä ainakin osata varoa viruksia ja suhtautua epäluuloisesti tuntemattomiin liitetiedostoihin. Monelle tietokoneet ovat yhä vain välttämätön paha eikä tekniseltä kalskahtava tietoturva oikein ota auetakseen. Kaikille ei tietysti tarvitsekaan opettaa aivan kaikkea.

Vain olennaisin osa on jokaisen opittava ja vain sitä on kaikkien työssään aktiivisesti noudatettava. Tekniikkaan perehtymätön sisäistää varmasti perusasiat, mutta joutava jorina ja jargon saavat hänet yhtä varmasti takajaloilleen.

Jos osa henkilökunnasta suhtautuu penseästi turhilta vaikuttavien asioiden oppimiseen, jotakin voi yrittää tehdä ohjelmallisestikin. Selainten asetuksia kiristämällä ja jatkuvalla paikkaustiedostojen päivittämisellä päästään alkuun. Lisäksi sisäinen verkko on tietysti suojattava tuhdilla palomuurilla ja työasemat tehokkailla virustorjuntaohjelmilla.

Palvelunestohyökkäyksien varalta voi myös olla hyvä ajatus käyttää useampaa internet-palveluntarjoajaa, jotta vältyttäisiin taydelliseltä tiedonkulun katkokselta.

Salasanat ovat yritysten kestoriski. Liian monessa yhtiössä sisäinen verkko aukeaa yhä pelkällä välilyönnillä ja enter-näppäimen painalluksella, mikä ei pidättele ketään ulkopuolista pääsemästä käsiksi arkaluontoiseen tietoon, kuten ei myöskään sellainen salasana, jota auliisti jaellaan usean käyttäjän kesken.

Niinikään salasanoja raapustellaan aina vaan sinne hiirimaton alle tai pöytälaatikkoon tarralapulla. Tähän on tultava loppu, mikäli ikäviltä yllätyksiltä mielitään välttyä. Salasanojen vuotamista estämään voidaan luoda järjestelmä, jossa sisäisen verkon jokaisen käyttäjän salasana vaihtuu määräajoin tietyllä tavalla ja silti käyttäjät onnistuvat muistamaan oman salasanansa.

Tietoturvatuotteilla on tietenkin oma tärkeä paikkansa yrityksen tietoturvan rakentamisessa. Pelkillä tuotteilla ei kuitenkaan pärjää. Ne, jotka murtautuvat järjestelmiin, tekevät palvelunestohyökkäyksiä tai kirjoittavat viruksia, ovat ihmisiä. Viime kädessä on myös ihmisistä kiinni, kuinka paljon vahinkoa moiset tihutyöt pääsevät aiheuttamaan.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Bankia pyytää Espanjan valtiolta 19:ää miljardia euroa
• Rivitalo palaa Vahdossa