Lue uutinen mobiilisivustolla

Suomi-yritys tietoturvalamassa

31.8.2001 13:33 Asiantuntijoiden mukaan suomalaisyritysten tietoturva on keskimäärin hunningolla. Antti Hemmingin mielestä tärkeä osasyy on väärät suunnitteluperiaatteet: tietoturvaakin pitäisi tarkastella tuottavuuden kannalta ylimmästä johdosta lähtien eikä pelkästään teknisenä yksityiskohtana.

Mistä johtuu, että suomalaisyritysten tietoturva on niin huonoissa kantimissa kuin moni alan asiantuntija on valmis väittämään?

Digitoday julkaisi torstaina jutun, jossa tietoturva-asiantuntija totesi ykskantaan suomalaisten yritysten tietoturva-asioiden olevan enemmän tai vähemmän hunningolla.

Valtaosa firmoista ei tietoturva-asioissa tunnu näkevän metsää puilta, vaan sähköisiin uhkiin varaudutaan enemmänkin jonkinlaisesta velvollisuudesta tyyliin "hommataan vaan se palomuuri kun kerran niitä hakkereita on liikkeellä" - sen sijaan, että pyrittäisiin turvaamaan yrityksen toiminta kokonaisvaltaisemmalla tietoturva-ajattelulla.

Vaikka tavallisia virushyökkäyksiä monimutkaisemmat tietomurrotkin vain yleistyvät jatkuvasti, into tietojärjestelmien suojaamiseen ei tunnu heräävän.

Vielä julkaisemattoman tutkimuksen mukaan tavallinen, perusasetuksin varustettu tietojärjestelmä on murrettavissa naurettavan helposti. Niin NT- kuin Linux- järjestelmäänkin pääsee tietoturvagurun mukaan muutamassa tunnissa ja verkkoon liitettävän uuden järjestelmän kimppuun yritetään keskimäärin jo selvästi alle tunnissa.

Mikä suomalaisia yrityksiä sitten vaivaa? Kiinnostuksen puutteesta ei ole kyse, sillä tuskin yksikään firma voi väittää, ettei tietoturva puhuttaisi. Taustalla on jotakin muuta. Vaikka ongelma on osin myös tekninen, suurin heikkous näyttäisi olevan suunnittelun puute.

Hemminki: hämminki johtoportaassa

Tietoturva-asiantuntija Antti Hemmingin mukaan yrityksissä ei resursseja suunniteltaessa ole mietitty sitä, kuka ottaa hoitaakseen tietoturvan rakentamisen.

Suunnittelun puute yhdistyy Hemmingin mielestä teknisiin ongelmiin siinä, että yrityksillä ei tunnu olevan valmiita raportointikäytäntöjä tietoturvajärjestelmän tuottamalle lokitiedolle, jota kertyy nopeasti mittaviakin määriä.

Vielä ennen tietoturvapolitiikankin määrittämistä pitäisi määrittää tietoturvan rooli ja merkitys. Vasta sitten kun yritys tietää, mitä se tietoturvaltaan haluaa, voidaan ryhtyä luomaan soveltamiskäytäntöä.

Ennen teknisen tietoturvasuunnitelman luomista yrityksen olisi Hemmingin mukaan hyvä valmistella hankintastrategia, jolloin yhden osa-alueen valmistuessa tiedossa olisi jo seuraavan vaiheen vaatimukset.

-Asioita ei ole mietitty alusta lähtien. Siksi ongelma ei ole tekninen vaikka se siltä näyttää, vaan se palautuu johtamistasolle. Informaatiomassaa hallitaan hajautetusti. Edes järjestelmän rakentamisvaiheessa ei mietitä tietoturvan osa-alueiden ja komponenttien teknistä integrointia, mikä johtaa tarpeettomiin ylilyönteihin investoinneissa. Ja kun kokonaisuutta yritetään koota palasista, siitä ei muodostukaan palapeliä, Hemminki sanoo.

Talousjohtaja tietoturvapalaveriin

Tietoturvaa pitäisi siis suunnitella yrityksen organisaatiossa ylhäältä alaspäin. Hemmingin mukaan suomalaisissa yrityksissä kuitenkin toimitaan juuri päinvastoin. Maassa, jossa kännykkä ratkaisee ihmisten sosiaaliset ongelmat, asioita ajatellaan teknislähtöisesti, "muka-rationaalisesti".

Johtamisesta lähtevä tietoturvan suunnittelu perustuu ajatukselle siitä, että tietoturvalle pitää vaatia investointituottavuus samalla tavoin kuin mille tahansa muulle toiminnalle.

Pelkästään se, että maailmassa on hakkereita, ei riitä syyksi tietoturvan kohottamiselle. Syy turvan kiristämiseen on vasta on tietorikollisten aiheuttama todennäköinen uhka yrityksen liiketoiminnalle.

-Tietoturvakokonaisuuden suunnitteluun pitäisikin osallistua myös niiden henkilöiden, jotka suunnittelevat yrityksen liiketoimintaa", Hemminki lisää.

Liiketoimintaan oleellisesti liittyviä riskejä voidaan ottaa enemmän, jos tietoturvaan liittyvä toipumisprosessi on kunnossa. Jos siis esimerkiksi virus on päässyt kaatamaan yrityksen tietojärjestelmän, toiminta saadaan nopeasti uudelleen käyntiin palauttavan tietoturvajärjestelmän avulla.

Toisaalta yritys tarvitsee myös ennakoivaa ja tunnistavaa tietoturvaa, sillä palautumisjärjestelmän kustannukset nousisivat todennäköisesti muuten kohtuuttoman korkeiksi.

Turvaa vai turvattomuutta?

Järjestelmät kasvavat jatkuvasti ja kehittyvät entistä monimutkaisemmiksi. Samalla kasvaa myös todennäköisyys siitä, että virheitä pääsee sattumaan.

Virheiden mahdollisuuden lisääntyminen ja sen tiedostaminen taas johtavat tietoturvallisuuden vähentymiseen ja tietoturvattomuuden leviämiseen.

Työsarkaa yritystietoturvan kehittämisessä siis näyttää riittävän. Tämän tietää myös Hemminki.

- Tietoturva on akateeminen oppiaine, jota on tutkittu 40 vuotta ja silti tilanne vain huononee koko ajan, hän hymähtää.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Bankia pyytää Espanjan valtiolta 19:ää miljardia euroa
• Rivitalo palaa Vahdossa