Lue uutinen mobiilisivustolla

Tehokasta tietoturvaa - paperilla

21.11.2003 09:38 Tietoturvapolitiikka on suomalaisyrityksissä arkipäivää, mutta silti huijari näyttää pääsevän niihin helposti sisään. Mitä hyötyä on ohjeista, joita ei noudateta? Ei mitään. Hyöty saadaan vasta sitten, kun ohjeet toteutetaan käytännössä.

Digitodayssä torstaina julkaistu juttu tuki sitä, mitä on uumoiltu jo pitkään. Osoittautui, että ainakaan kaikkien suomalaisisten yritysten ja koko julkisen sektorin tietoturvataso ei olekaan käytännössä ihan niin korkea kuin on annettu ymmärtää.

Salasanoja ja käyttäjätunnuksia annettiin jokaisessa jutun tutkimukseen osallistuneessa organisaatiossa auliisti tuntemattomalle. Vaikka tutkimukseen osallistui verrattain pieni määrä yrityksiä ja kuntia, tulos puhuu karua kieltä käytännön tietoturvaymmärtämyksestä Suomessa.

Eihän asioiden pitänyt olla näin huonolla tolalla. Tietoturvasta puhutaan entistä enemmän, tietoisuus kasvaa, yritykset suunnittelevat kilvan turvastrategioita. Mikä siis on mennyt pieleen?

Suunnittelu pelaa, mutta toteutus puuttuu

Yritykset ja organisaatiot laativat yleensä tietoturvastrategian, jossa käydään läpi, mitä kaikkea pitää suojata ja kuinka paljon turvasta halutaan tai voidaan maksaa. Suunnitelman perusteella laaditaan tietoturvapolitiikka, toisin sanoen määritetään ne toimintatavat, joilla kyseisen organisaation tiedot pysyvät turvassa.

Entä sitten? Kun on kartoitettu, suunniteltu, sovittu ja politikoitu, olisi aika siirtyä kaikkein tärkeimpään asiaan: toteutukseen. Ilmeisesti suurin ongelma on tässä: miten toteuttaa tietoturva vuoden jokaisena päivänä ja kellon ympäri? Hienoja suunnitelmia voi pyöritellä paperilla vaikka tuomiopäivään asti, mutta hyötyä niistä on vasta sitten, kun ne toteutetaan käytännössä.

Toinen löyhään salassapitokuriin vaikuttava seikka on se, ettei tietoturvaohjeissa läheskään aina lainkaan tai ainakaan tarpeeksi oteta huomioon social engineering -hyökkäyksiä. Kulunut sanonta siitä, että tietoturvaa pidetään liian teknisenä asiana, pitää edelleen paikkansa. Ja mitä enemmän teknistä puolta korostetaan, sitä vähemmälle huomiolle jää ihmisen merkitys tietoturvan toteuttamisessa.

Tietoturvapolitiikkaa laadittaessa ehkä ole koskaan tullut mieleenkään, että joku voisi röyhkeästi huijaamalla urkkia työntekijöiltä sellaisia tietoja, joiden avulla aukeaa pääsy esimerkiksi yrityksen, kunnan tai ministeriön tietojärjestelmään. Juuri sen takia huijarin on helppo ohittaa tiukimmatkin tekniset tietoturvajärjestelmät.

Isot yhtiöt houkuttelevat

Tietokoneen peruskäyttäjällä, siis sillä, jonka osaamisaluetta tietoturva ei ole, ei yleensä ole selvää käsitystä siitä, mistä tietoturvassa on kyse. Peruskäyttäjiä on suurin osa paitsi kotikäyttäjistä, melkein kaikkien organisaatioiden parissa työskentelevistä, ja he kattavat yrityshierarkian eri tasot. Toimitusjohtaja voi tietää, ettei palkkatietoja kuulu luovuttaa asiaankuulumattomille, mutta osaako hänkään erottaa alaisensa huijarista? Tunteeko hän yrityksensä työntekijät edes ulkonäöltä?

Vaikka tietoa tietoturva-asioista on saatavilla yhä helpommin, sen perille meneminen lienee yhtä vaikeaa kuin ennenkin. Ja vaikka ongelmat tiedostettaisiin, niille ei silti aina osata tai ymmärretä tehdä mitään.

Isoissa yrityksissä tietoturvapolitiikka on jo miltei poikkeuksetta arkipäivää. Teknisessä mielessä suuret yhtiöt ovat olleet tietoturvallisuudestaan tarkkana jo jonkin aikaa. Silti – tai ehkä juuri siksi – isot firmat ovat joutuneet social engineering -hyökkäysten kohteeksi. Kun hyökkääjä tietää, että kohde on varustautunut tunkeiluja vastaan mittavalla teknisellä arsenaalilla, hän valitsee tietenkin helpomman tien. Tarpeeksi röyhkeä ja ovela hyökkääjä puhuu ja huijaa itsensä pitkälle.

Jokainen, joka on alaikäisenä yrittänyt ostaa viinaa tietää, että varminta oli suunnata Alkoon; kukaan ei osannut epäillä, että alaikäinen uskaltautuisi ison ja pelottavan valtiollisen viinakaupan ovesta sisään. Lähikaupan pyylevä täti sen sijaan muisti aina kysellä henkilöllisyystodistusta, kun teini punastellen nosti keskiolutlastinsa kassahihnalle.

Ihminen ratkaisee

Järjestelmät voidaan ehkä rakentaa sellaisiksi, että tavallisella tietokoneen peruskäyttäjällä ei ole mahdollisuutta tehdä omalla koneellaan haittaa tai suoranaista tuhoa organisaatiolle, jota hän edustaa. Häneltä voidaan esimerkiksi evätä pääsy tietyille www-sivuille tai sallia ainoastaan sellaiset saitit, jotka liittyvät hänen työtehtäväänsä.

Silti työntekijää ei voi koskaan tarkkailla niin tiukasti, etteikö hän voisi antaa huomaamattaan ulkopuoliselle organisaation salaisia tai luottamuksellisia tietoja. Kaikista maailman palomuureista, virustutkista, tunkeutumisen havainnointi- ja estojärjestelmistä ja muista teknisistä tietoturvatuotteista ei ole hyötyä sellaisenaan.

Tietoturvallisuus, tai sen puute, riippuu viime kädessä aina vain yhdestä tekijästä: ihmisestä. Turha kuvitella, ettei suomalaisten organisaatioiden heikkous olisi niiden tiedossa, jotka tuosta tiedosta hyötyvät. Turha kuvitella, ettei suomalaisten heikkouksia käytettäisi hyväksi. Turha kuvitella, parempi herätä jo.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Krp: Hyvinkään ampujan uhrit näyttävät valikoituneen sattumanvaraisesti

• Hyrian rehtori: Uhrit olivat luokkansa priimuksia
• Yksi Hyvinkään ammuskelussa haavoittuneista yhä kriittisessä tilassa
• IS: Alavudella tyttöön törmännyt nainen tavoitettu
• Paatero: Poliisi toimi oikein ampumispaikalla