Mitä on tietoturvakoulutus, osa 1
Tieturin Ismo Kantola patistaa yrityksiä tietoturvakoulutukseen ajoissa, ennen kuin vahinko on sattunut.
13.1.2004 06:44 Tekniikka voi tuoda lisätietoturvaa, mutta ihminen voi aina kiertää tekniikan; työntekijä voidaan yksinkertaisesti huijata lähettämään haluttu tieto ulkopuolisille. Social engineering on tullut Suomeenkin, mutta sitä vastaan ei osata taistella. Tarvitaan siis koulutusta.
Ohjeistuksen ja koulutuksen tarkoituksena on vastata kysymyksiin siitä, millä tavoin toimitaan ja miksi niin toimitaan. Tietoturvakoulutuksella pyritään tietoturvatietoisuuden lisäämiseen ja turvattomien toimintatapojen muuttamiseen turvallisiksi. Käytännössä turvallisuuden parantaminen on monen tekijän summa, ja siihen tarvitaan niin toimintamalleja kuin välineitäkin.
- Tietoturvakoulutusta tarvitaan siihen, että voidaan lisätä tietoisuutta ja muuttaa vääriä toimintamalleja ja -tapoja. Pelkällä ohjeistuksella ei enää nykyisin pärjää, vaan koulutusta tarvitaan sen lisäksi. Yrityksen riskien hallinnasta iso osa on nimenomaan saada ne toimintaan kohdistuvat suurimmat riskit pois, mikä taas vaatii sitä, että henkilökunta tiedostaa uhkat ja riskit ja osaa toimia oikein, sanoo Tieturin osastopäällikkö Ismo Kantola.
Hyvin konfiguroitu palomuuri tuo lisäturvaa tietoliikenteeseen, mutta jos inhimillistä tekijää ei ole otettu huomioon, muuri ja samalla koko tietoturva voidaan kiertää. Teknisillä välineillä päästään parhaimmillaan jo hyvään tilanteeseen, jos tietoturva on todella läpinäkyvää. Koulutuksella on kuitenkin puututtava niihin osa-alueisiin, joihin tekniikka ei riitä. Tekniikka ei koskaan ole ainoa ratkaisu, vaan vain osa ratkaisua, sillä niin kauan kuin on ihmisiä töissä, heidät on myös otettava tietoturvassa huomioon.
- Tietoturvan olisi hyvä olla läpinäkyvää ja automaattista. Optimitasolla henkilö ei itse pysty vaikuttamaan tietoturvaan ja ottamaan esimerkiksi virustorjuntaa pois päältä tai estää sen toiminta ja päivittyminen. Silloin käyttäjän ei myöskään tarvitse itse murehtia tietoturvasta. Käyttäjää ei kuitenkaan voida unohtaa, vaikka teknikka olisikin kunnossa. Niihin osa-alueisiin, joihin vaaditaan ihmisten panosta, vaaditaan myös koulutusta ja ohjeistusta, Kantola sanoo.
Kaikista ei tehdä ammattilaisia
Periaatteessa jokainen ihminen on mahdollista kouluttaa tuntemaan tietoturvan perusasiat. Kaikista on kuitenkin turha yrittää leipoa tietoturva-ammattilaisia.
- Henkilökunnan ei tarvitsekaan tietää kaikkea kaikesta tietoturvasta. Jokaisen on kuitenkin tiedettävä, minkälaisia riskejä siihen omaan työhön liittyy ja mitä tietoturva tarkoittaa juuri oman työtehtävän kannalta. Joitakin tietoturvan perusteita täytyy osata, mikä ei missään tapauksessa tarkoita mitään pitkää koulutusta hakkereiden havaitsemiseen. Riittää, että ymmärtää perusasiat ja tietää, mitä pitää omassa työssä huomioida, jotta tietoturvallisuus toteutuisi, Kantola sanoo.
Tietoturvatietoisuuden lisääminen on Kantolan mielestä ensisijaisesti koulutusyritysten ja tietoturva-alalla olevien yritysten tehtävä. Toisaalta esimerkiksi CERT on hänen mukaansa tehnyt erinomaista työtä tässä suhteessa, samoin media, joka nostaa tietoturva-asioita esiin. Muitakin väyliä tietoturvaoppiin on.
- Ajatus tietoturvaopetuksesta osana tietokoneen ajokorttia on mielestäni hyvä. Se on yksi tapa lisätä tietoisuutta, kun käyttäjä huomioi niitä tietoturvaan liittyviä asioita, jotka hänen päivittäistä työtään koskettavat, Kantola kehuu.
Suomi houkuttaa sosiaalista hyökkääjää
Tehokkain ei-teknisistä hyökkäys- ja tiedonhankintakeinoista on Kantolan mielestä social engineering, ja se toimii hänen mukaansa erittäin hyvin nimenomaan Suomessa.
- Social engineering on Suomessa tehokkain tapa päästä tietoon käsiksi, koska suomalaiset ovat hyvin sinisilmäisiä ja luottavat hyvin herkästi toiseen ihmiseen. Myös auktoriteettipelko vaikuttaa suomalaisiin. Jos esimieheksi tekeytyvä henkilö soittaa alemmalla tasolla hierarkiassa olevalle työntekijälle, moni ei ymmärrä kyseenalaistaa henkilön aikomuksia, Kantola uskoo.
Social engineeringiä on Kantolan näkemyksen mukaan ollut suunnilleen yhtä kauan kuin ihmisiäkin, vaikka siitä ei ole juuri puhuttu. Aina on yrityksissä jollakin tavoin vakoiltu ja otettu selvää, millä tavoin kilpailijat toimivat. Kilpailevasta yrityksestä on hyvin helppoa saada urkkimalla salaisiakin tietoja. Sitä mukaa kun inhimillinen uhka tiedostetaan entistä paremmin, vakoojat ja huijarit keksivät entistä ovelampia keinoja tietojen haalintaan.
- Julkisuuteen näitä tapauksia ei juuri tule, mutta tietoturva-alalla kun on, niitä näkee jatkuvasti. Kilpailevat yritykset käyttävät social engineeringiä toisiaan vastaan hyvinkin tehokkaasti, Kantola vakuuttaa.
Yritys voi esimerkiksi laittaa lehteen työpaikkailmoituksen, jolla ei ole tarkoituskaan täyttää työpaikkaa, vaan jolla kalastellaan kilpailijan työntekijää haastatteluun puhtaasti urkintamielessä. Tavanomaisilla haastattelutekniikoilla pahaa aavistamattomalta työnhakijalta ongitaan tietoja kilpailevasta yrityksestä.
- Haastattelutilanteessahan voidaan hyvin kysyä esimerkiksi sitä, minkälaisissa tehtävissä hakija on toiminut kilpailijayrityksessä ja miten paljon rahaa kilpailija hänen alaansa on ohjannut. Työnhakija taas haluaa yleensä välttää hankalaksi heittäytymistä ja antaa tiedot mielellään. Muutaman päivän kuluttua hakijalle sanotaan vain, että paikkaa ei täytettykään, tai että siihen palkattiin toinen henkilö, Kantola kertoo.
Yritys voi harrastaa social engineeringiä toisinkin päin, lähettämällä "?hakijan"? kilpailevan yrityksen työhönottohaastatteluun. Kyselemällä haastateltavakin saa haastattelutilanteessa helposti tietoja työhönottajiltaan.
- Hyvin tyypillistä on, että kun haetaan esimerkiksi tietohallinnon tai mikrotuen tehtäviin, haastattelijat heti ensimmäisenä levittävät hakijan eteen verkkokaavion. Siitä selviää, mitä kaikkea yrityksellä verkossaan on. Hakijalta voidaan kysyä, osaako hän käyttää jotakin tiettyä käyttöjärjestelmäversiota, siis sitä, joka yrityksessä on käytössä. Työnhakijan kanssa käydään yleensä myös talousluvut, liiketoimintasuunnitelmat ja ennusteet läpi ja yhtäkkiä yritys onkin kertonut lähes kaikki liikesalaisuutensa työnhakijalle. Nämä ovat todellisia tapauksia Suomesta, Kantola sanoo.
Suomessa kyseenalaistetaan ohjeet
Suomalaiset ovat Kantolan mielestä perinteisesti tehneet virheen siinä, että he vain antavat ohjeita ja kertovat, miten asiat on tehtävä. Monesti unohdetaan kertoa se, minkä takia näin toimitaan. Vastaus miksi-kysymykseen on nimenomaan suomalaisia kiinnostava asia.
- Suomalaisille on hyvin tärkeää tietää, miksi tietyllä tavalla toimitaan. Henkilöstö pitää ohjetta helposti pelkkänä byrokraattisena päätöksenä, joka vaikeuttaa työntekoa. Tällaisia ohjeita henkilökunta voi jättää noudattamatta ja jopa alkaa toimia päinvastaisella tavalla, Kantola sanoo.
Kantola ottaa esimerkiksi kännykän, joka putoaa veteen. Nokian ohjeiden mukaanhan vedestä pelastetusta kännykästä irrotetaan heti akku, minkä jälkeen puhelin pistetään pussiin, johon laitetaan vähän vettä pohjalle ja kiikutetaan pussi huoltoon. Maalaisjärki kehottaisi varmaankin monia kuivaamaan puhelinta esimerkiksi hiustenkuivaajalla, jotta vesi ei ehtisi tehdä tuhojaan – ja kuitenkin juuri näin toimimalla vahinkoa saa todennäköisimmin aikaan. Kantolan mukaan ohjeilla voidaan kertoa, miten oikeasti pitää toimia, ja jos ohjeet tuntuvat epäloogisilta, on vielä selitettävä, miksi niitä pitää noudattaa.
- Jos toiminnan tarkoitusta ei selitetä, ei ohjeita välttämättä noudateta. Suomalainen ajattelee, että joku ei nyt ole ihan tajunnut tätä asiaa, että ohje on ihan tyhmä ja että näinhän minun oikeasti tässä täytyy toimia. Sama pätee usein yritysten ohjeisiin ja sääntöihin. Henkilökunta ei noudata niitä, koska se kokee, että joku ei ole ajatellut asiaa ihan loppuun saakka, Kantola huomauttaa.
Artikkelin toinen osa ilmestyy viikon kuluttua.
Antti Kirves toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
G8-maat: apua tarvitaan lapsipornon vastaiseen sotaan
27.05.2007 G8-maat ovat tehneet vetoomuksen vahvistaakseen lapsipornon vastaista taistelua. Maat kehottavat muun muassa internet-palveluntarjoajia, it-ammattilaisia, mediaa, vanhempia ja opettajia miettimään, miten voisivat osallistua taisteluun.
Kolme vuotta sitten
Soneralta Spotify-haastaja 10 euron kuukausihintaan
27.05.2009 Sonera Music Player tarjoaa matkapuhelinasiakkailleen rajoittamatonta musiikin kuuntelupalvelua 9,90 euron kuukausihintaan.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Ainakin 2000 saa potkut RIMiltä 09:44
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- » Taloussanomat.fi
