Myymalat pieni

30.3.2015

Ohjelmistovalmistajat muutosten kourissa pilvipalveluiden yleistyessä

Aikaisemmin ohjelmistotoimittajilta riitti ohjelmiston toimittaminen ja siihen mahdollisesti tuki- ja koulutuspalveluiden tuottaminen. Nykyään suuri osa ohjelmistoista on jo saatavilla pilvipalveluna ja nekin, jotka eivät vielä pilvestä ole saatavilla, niiden jakelua pilvestä on luultavasti vähintäänkin pohdittu. Pilvi onkin muuttanut ohjelmistotalon liiketoimintaa varsin paljon. Tyypillinen lisenssikauppa ja siihen liittyvä ylläpitopalvelun myynti on monessa tapauksessa muuttunut kuukausiperustaiseksi palvelumyynniksi, johon sisältyvät itse ohjelmisto, ohjelmiston tarvitsema pilvi, tukipalvelut ja ohjelmiston ylläpito. Tyypillisen ohjelmistotalon business-logiikka onkin kokenut muutaman kuluneen vuoden aikana isoja muutoksia. Jotkut toimijat ovat osanneet hyödyntää muutoksen mahdollisuuden hyvin, jotkut taas ovat tulleet mukaan pakon sanelemina ja onhan markkinoilla iso joukko toimijoita, jotka vielä empivät tämän tyyppiseen konseptiin siirtymistä.

Jos pilvipalvelut ovat muuttaneet ohjelmistotalojen business-mallia, niin tuo muutos ei ole kuitenkaan jäänyt ainoaksi. Tyypillisesti ohjelmistotaloilla on luonnollisesti ollut hyvä osaaminen ohjelmistokehityksessä, mutta infraosaaminen, jota pilvipalveluiden tuottaminen mitä suurimmassa määrin vaatii, ei ole ollut ohjelmistotalojen ydinosaamista. Pilviratkaisuissa ohjelmistotalot ovatkin tehneet omista lähtökohdistaan kovin erilaisia ratkaisuja pilveen siirtymisen yhteydessä. Osa yrityksistä on hankkinut omaa rautaa ja alkanut itse tuottamaan ohjelmistonsa tarvitsemaa pilvikapasiteettia. Osa puolestaan on päätynyt hyväksi havaitsemaansa paikalliseen hosting-palveluita tarjoavaan kumppaniin ja osa on valinnut ohjelmiston pilveksi jonkin suuren kansainvälisen pilvitoimijan kuten Microsoftin tai Amazonin.

Ohjelmistotalon valitessa omaa pilvialustaa edessä on paljon kysymyksiä, jotka tulee ratkaista. Kustannukset ovat varmasti yksi pohdittava asia, vaikkakin yksiselitteisesti edullisimman ratkaisun tunnistaminen saattaa olla käytännössä vaikeaa. Pohdittaessa pilvipalvelun tuottamista omasta ympäristöstä, arvioitavaksi tulee oman yrityksen riittävä ammattitaito tuottaa tämän kaltaista palvelua. Asiakkailla saattaa olla palvelun käytettävyydelle varsin merkittäviäkin vaateita. Esimerkiksi tilaan, jossa palvelua fyysisesti pyöritetään, saattaa kohdistua yllättävän suuria vaatimuksia asiakkaiden taholta.

Pohdittaessa palvelun tuottamista ison kansainvälisen pilvipalveluoperaattorin pilvestä, kysymykset ovat tyypillisesti hyvin erilaisia. Kysymyksiä saattavat olla esimerkiksi datan maantieteellinen sijainti sekä datan omistajuuteen liittyvät kysymykset, eli kuka lopulta omistaa pilveen tallennetun datan. Kansainvälisten toimijoiden kohdalla lainsäädäntö mietityttää myös usein: minkä maan lainsäädäntöä palvelussa sovelletaan ja kuinka hyvin tämä lainsäädäntö tukee tai vaihtoehtoisesti ei tue palvelun tuottamista. Suomalaisen ohjelmistotalon näkökulmasta ohjelmistovalmistaja on tyypillisesti merkittävästi pienempi toimija kuin pilvipalvelua tuottava yritys ja usein tässä kohtaa mietitäänkin, onko ohjelmistotalon mahdollista saada suurelta kansainväliseltä yritykseltä riittävän monipuolista palvelua ja miten toimitaan mahdollisissa ongelmatilanteissa. Hinnoittelu saattaa myös koostua paljolti muuttuvista eristä ja näiden arviointi etukäteen ei ole aina täysin ongelmatonta.

Kun taas ohjelmistovalmistaja pohtii pilvikumppanikseen paikallisempaa hosting-kumppania, niin jälleen kysymyksen asettelu muuttuu varsin paljon. Ensimmäinen kysymys usein kuuluu, että onko tällä kumppanilla riittävä tekninen osaaminen ja riittävät taloudelliset resurssit pilvipalvelun tuottamiseen nyt ja tulevaisuudessa. Toinen keskeinen kysymys tämän kaltaisten kumppaneiden pohdinnassa on ollut konesalien standardit: ovatko konesalit riittävän turvallisia myös epätodennäköisten häiriötilanteiden sattuessa kohdalle.

Omaan pilvipalveluun päätyessä ohjelmistotalo pyrkii tyypillisesti vastaamaan pilvialustastaan itse mahdollisimman kokonaisvaltaisesti ja saamaan näin kustannussäästöjä. Kansainvälisten pilvipalveluiden tarjoajien kanssa tilanne on monessa mielessä samankaltainen. Tuolloin alla oleva infra kyllä hoidetaan palveluna, mutta varsinainen palveluympäristö on tyypillisesti sellainen, jonka konfiguroinnista ja palvelusta vastaa ohjelmistoyritys. Toisaalta paikallisen hosting-kumppanin kanssa merkittävä ero on, että tällöin työtehtävistä ja vastuista voidaan tyypillisesti sopia varsin joustavasti.

Me Magic Cloudissa olemme yksi Suomalainen hosting-palveluita tarjoava yritys. Meillä on lukuisia kotimaisia ohjelmistoalan yrityksiä asiakkainamme, jotka ovat päätyneet käyttämään meidän pilveämme oman ohjelmistonsa pilvipalvelu alustanaan.

17.6.2013

Kenellä on kulkuoikeudet kassakaapillesi?

On päivän selvää, että tahdot pitää yrityksesi arvokkaat sopimustiedot lukkojen takana. Ethän luonnollisesi luota kassakaappisi avainta tai numeroyhdistelmää kenenkään ulkopuolisen haltuun.

Mitä jos vieraan valtion edustajalla olisi oikeus käydä ”ihan vain vilkaisemassa” kassakaappisi sisältöä, jos kyse on ”kansallisesta turvallisuudesta”. Tai entä jos kassakaappisi valmistajalla olisi oikeudet kassakaapin sisältöön, onhan se kuitenkin heidän valmistamansa tuote.

tiedustelupalvelu-MagicCloudOmaan korvaani kuulostaa vahvasti siltä, ettei yleisten käsitysten mukaan menevä tietoturva toteudu näissä tilanteessa lainkaan. Totuus on kuitenkin useassa tapauksessa pelottavan lähellä edellä kuvattuja tilanteita. Kesäkuun 2013 alussa tuli julki luotettavalta taholta asia, josta IT-ala oli pinnan alla tietoinen; monet suuryritykset tekevät yhteistyötä kansallisten turvallisuuspalveluiden kanssa, luovuttaen yksityistä omaisuutta olevaa dataa tiedustelupalveluiden käyttöön.

Sittemmin on käynyt ilmi, että useiden eri yritysten kautta NSA:lle työskennelleen Edward Snowdenin julki tuoma tieto urkintatapauksista oli vain jäävuoren huippu. Etenkin Yhdysvalloissa sijaitsevat verkko-operaattorit, kuten markkinajohtaja AT&T, ovat jo vuosia välittäneet verkkoliikenteensä tietoja suoraan NSA:lle.

Tietoturva on luonnollisesti heitetty nurkkaan myös siinä tapauksessa, jos palveluntarjoajalla tai kolmannella osapuolella on siihen käyttö- tai omistusoikeus. Kuulostaa fiktiiviseltä, mutta on useissa tapauksissa tämä on valitettavan totta. Miltei jokainen IT-alalla työskentelevä henkilö tietää yhden jos toisenkin tapauksen, jossa asiakkaan irtisanoessa sopimusta, ei palveluntarjoajalla sijaitsevan datan takaisinsaanti ole ollut yksiselitteistä. Pahimmissa tapauksissa data on luvattu palauttaa asiakkaalle A4-arkeille tulostettuna. Tuleepa mieleeni myös tapaus, jossa yrityksen kehittämään innovaatioon perustuvaa tuotetta oli ilmaantunut vieraan valtion armeijan käyttöön toisen yrityksen toimesta, ilman minkäänlaista yhteyttä. Kyseisessä tapauksessa yrityksen data sijaitsi globaalin palvelintarjoajan palvelinkeskuksissa.

Suomalainen lainsäädäntö sekä käytännöt ovat tällä saralla yleisesti ottaen datan omistajan puolella. Suomessa sijaitsevien konesalien käyttäjien tieto on pääsääntöisesti asiakkaan omaisuuttaa, eikä palveluntarjoajalla ole tietoon käyttöoikeuksia.

Vaikka parannettavaa toki myös Suomen lainsäädännöstä löytyy tällä saralla, voi lähtökohtaisesti suomalaisen palveluntarjoajan asiakas olla suhteellisen turvallisin mielin, mikäli palvelut tarjotaan suomessa sijaitsevista palvelinsaleista ja sopimuksessa on määritelty kirjallisesti datan omistajuussuhde.

11.11.2012

Onko sinun sähköpostiviestisi kuin postikortti vai kirjattu kirje?

Sähköposti on meille kaikille tuttu viestimismuoto. Viestejä lähetetään ja vastaanotetaan nykyään jatkuvana virtana monilla eri päätelaitteilla. Sähköpostiviestit kulkevat tietokoneissa, tableteissa ja kännyköissä. Sähköpostit ovatkin korvanneet hyvin paljon perinteistä kirjeliikennettä. Postikortteja sentään vielä lähetellään tavallisen postin kautta, usein onnittelumielessä tai tervehdyksenä lomamatkalta.

Harva tulee viestejä lähettäessään miettineeksi sähköpostin tietoturvaa. Monikaan meistä ei varmasti lähettäisi henkilötietoja, salasanoja tai luottokorttitietoja postikortilla. Tavallisen sähköpostiviestin tietoturva ei kuitenkaan ole yhtään perinteistä postikorttia parempi. Kirjeeseen, saati sitten kirjattuun kirjeeseen, ei normaalia sähköpostiviestiä voi verrata parhaalla tahdollakaan.

Sähköpostiviestit kulkevat tietoverkossa selväkielisinä. Jos ulkopuolinen haluaa poimia sähköpostiviestin itselleen, se ei vaadi rakettitiedettä, eikä edes insinööritutkintoa.

Monissa yrityksissä on tehty ohjeistukset siitä, millaisia asioita sähköpostiviesteissä voidaan lähettää ja millaisia ei. Valitettava totuus kuitenkin on, että säännöistä ja määräyksistä huolimatta sähköposteissa liikkuu uskomattoman paljon arkaluontoista materiaalia. Aivan viimeaikoina on onneksi ollut havaittavissa pientä heräämistä tähän todellisuuteen. Tässä asiassa valistuksen tie on kuitenkin vasta alkutaipaleella.

Useat tutkimukset ovat osoittaneet sen, että vaikka yrityksen sisäinen määräys kieltäisi esimerkiksi henkilötunnusten lähettämisen tavallisessa sähköpostissa, liikkuu tällaista tietoa viesteissä yllättävän paljon. Sähköpostien kautta levinneistä tiedoista ei kovin paljoa ole mediassa kirjoitettu. Viestivarkaat kun eivät useinkaan halua toimistaan huudella, ja ne, joilta tiedot ovat vuotaneet, eivät liioin halua siitä julkisesti kertoa.

Sähköpostien salaus ei ole mikään uusi keksintö. Salaustekniikoilla on mahdollista muuttaa sähköpostiviestien tietoturvataso postikortista kirjeen tasolle tai jopa kirjatuksi kirjeeksi. Ongelmana tähän asti on ollut, että salaustekniikoiden käyttö on ollut niin hankalaa, että se on ollut niiden käyttöönotolle usein liian korkea este. Onneksi viimein on alkanut tulemaan myös niin helppokäyttöisiä salausvaihtoehtoja, että se ei ole enää niiden käyttämisen esteenä.

Nykypäivänä salatun sähköpostin lähettäminen ja vastaanottaminen on hyvillä tekniikoilla toteutettuna yhtä helppoa, kuin tavallisen sähköpostin. Myöskään hinta ei varmasti nouse enää kynnyskysymykseksi. Ja onhan salatun sähköpostin käyttö myös imagollisesti varsin positiivinen signaali yrityksen asiakkaille ja yhteistyökumppaneille. Viestittäähän salatun sähköpostin käyttö, että yritys pitää tärkeänä sitä, miten arkaluontoisia ja henkilökohtaisia tietoja käsitellään.

Kehottaisinkin kaikkia tuumimaan, millaista materiaalia sähköpostin välityksellä tulee lähetettyä. Ovatko kaikki viestit sellaisia, että ne voisi hyvillä mielin liimata vaikkapa kaupan ilmoitustaululle. Jos näin ei ole, niin kannattaa miettiä, olisiko syytä pohtia toimintamalleja uudemman kerran. Tässäkin asiassa tyyli on vapaa, mutta pakollinen.

4.9.2012

Windows XP, mitä sinulle kuuluu nykyään?

Microsoft Windows XP:n julkaisusta tulee piakkoin kuluneeksi 11 vuotta. Suomessa kyseinen käyttöjärjestelmä on kuitenkin edelleen käytössä joka toisessa 5-250 henkilön organisaatiossa. Palvelinpuolella Windows Server 2003 puolestaan saavuttaa kymmenen vuoden iän ensi keväänä. Se on käytössä vielä suuremmassa määrässä yrityksiä kuin Windows XP. Mitä kymmenen vuotta vanha käyttöjärjestelmä oikeastaan tarkoittaa?

Kuten kaikki tiedämme, kymmenen vuotta on tietokonemaailmassa todella pitkä aika. Uskoakseni äärimmäisen harvalla meistä on päivittäisessä käytössä kymmenen vuotta vanhaa tietokonetta. Kuitenkin monet meistä pitäytyvät tutussa ja turvallisessa käyttöjärjestelmässä. Tosiasiassa kuitenkin näistä ominaisuuksista vain tuttuus pitää paikkansa. Vanhojen käyttöjärjestelmien turvallisuus, tai oikeammin turvattomuus, onkin ehkä tärkein syy, miksi nyt olisi viimeinen hetki alkaa pohtia ohjelmistojen päivittämistä nykyaikaan.

Tietoturvan taso Windows XP:n ja Windows 7:n välillä on huomattava. Microsoft on lopettanut Windows XP:n perustuen jo huhtikuussa 2009. Jatkettu tuki, joka sisältää lähinnä vain kriittisimmät tietoturvapäivitykset, tulee loppumaan keväällä 2014. Huomattavaa siis on, että Windows XP:tä ei enää hyvään toviin ole kehitetty lainkaan. Käytännössä se ei vastaa enää tämän päivän vaatimuksiin sen paremmin tietoturvansa, ominaisuuksiensa kuin yleisen laite- ja ohjelmistotuenkaan kannalta.

Jos uskoisimme, että yritysmaailma tulisi päivittämään käyttöjärjestelmät ennen kevättä 2014, tarkoittaisi se hurjaa rumbaa. Niin tuskin tulee tapahtumaan, mutta varmasti seuraavien puolentoista vuoden aikana monessa yrityksessä on melkoinen tohina kyseisen asian kanssa. Ja kyseiseen asiaan olisi mielestäni hyvä herätä juurikin nyt. Tässä vaiheessa hieman isommassakin yrityksessä on mahdollista toteuttaa projekti vielä hallitusti ja suunnitellusti. Vuoden päästä se ei välttämättä enää ole mahdollista.

Jos vaikka unohtaisimme tässä vaiheessa tietoturvasta puhumisen ja tuudittautuisimme ajatukseen, että eihän meille mitään käy, niin voiko jokin muu asia tulla ongelmaksi jatkossa? Vastaus on yksinkertainen, kyllä. Käytännössä esimerkiksi iso osa ensi vuonna julkaistavista tietokoneista tulee olemaan sellaisia, että niihin ei yksinkertaisesti voi asentaa Windows XP -käyttöjärjestelmää. Ensi vuonna julkaistava Microsoft Office 2013 ei myöskään ole asennettavissa XP:iin. Nämä vain muutamia selkeitä esimerkkejä mainitakseni. Yksinkertaisesti aika vain on ajanut vanhan käyttöjärjestelmän ohi.

Jos yrityksessäsi on yhtäänkään useampia XP-tietokoneita tai Windows Server 2003 palvelinta, niin lämpimästi suosittelen ottamaan päivittämisajatuksen vakavasti. Jotkut saattavat tietenkin miettiä, että päivittääkö Windows 7:aan vai ensi kuussa julkaistavaan Windows 8:aan. Näistä vaihtoehdoista molemmat voivat olla hyviä. Kumpi on parempi juuri teidän yrityksellenne, niin siitä kannattaa varmasti keskustella niin yrityksessä sisäisesti, kuin yrityksen IT-kumppaninkin kanssa. Paljon vaikuttaa esimerkiksi yrityksen laitekanta ja käyttäjien liikkuvuus. Onko käytössä vain perinteisiä työasemia vai myös tablet-tietokoneita ja älypuhelimia? Mitkä ovat olleet suurimmat haasteet tietotekniikan ympärillä? Kun uudistusta kerran lähdetään tekemään, niin silloin kannattaa levittää kortit pöydälle ja tuumata hetki rauhassa. Mikäli yrityksessä ei ole omaa IT-henkilöstöä, niin asiantunteva IT-kumppani nousee arvoon arvaamattomaan. Käyttäjien tehtävä on kertoa tiedossa olevat epäkohdat ja haasteet. IT-kumppanin tehtävä on ratkaista ne.

Vaikka Windows XP onkin se tuttu ja hyväksi koettu, niin kaikki kuitenkin loppuu aikanaan. Ja vaikka usein uusi ja tuntematon saattaa ensi alkuun vähän jännittää, niin muutos ei loppujenlopuksi ole varmasti tässäkään asiassa lainkaan pahasta. Aluksi uudistus saattaa tuntua hankalalta, kun asiat toimivatkin vähän eri tavalla kuin ennen. Kun sitten pääsemme uuteen rytmiin kiinni, niin usein huomaammekin, että tämähän olisi pitänyt tehdä jo aikoja sitten.

31.10.2011

Aika on rahaa ja pitkä aika paljon rahaa

Kategoria: Tietotekniikan soveltaminen liiketoiminnassa,Tietoturva — Kimmo Haapavuori @ 22.47

Harvassa lienevät sellaiset yrittäjät, joille kiire olisi tuntematon käsite. Sama tuntuu pätevän myös isoon osaan yritysten työntekijöitä. Yhä useammin kuulee jopa eläkeläisten suusta, että aika ei tahdo riittää kaikkeen mihin tahtoisi. Mistä ihmeestä tämä ylenpalttinen kiire oikein johtuu?

Kun tarkastellaan lähemmin tavallista pientä suomalaista yritystä, voi hyvin usein huomata erään mielenkiintoisen seikan. Yrityksen toimialasta riippumatta yrityksen työntekijät ja useimmiten erityisesti yrityksen toimitusjohtaja työskentelee sellaisten työtehtävien parissa, joilla ei ole mitään tekemistä yrityksen ydinliiketoiminnan kanssa.

Yrityksen toimitusjohtaja suunnittelee ja mahdollisesti myös toteuttaa markkinointia ja mainontaa. Hän myös suunnittelee työntekijöiden työpisteet, laitteiden sijoitukset ja ergonomiset ratkaisut. Mahdollisesti siinä sivussa tulee vedettyä tarpeen vaatiessa vähän uusia sähköjohtoja tarvittaviin paikkoihin. Iltaisin työpäivän päätteeksi nopeasi imuroidaan toimistolla ja seuraavana talviaamuna kaivetaan lumikola varastosta, jotta saadaan parkkipaikka vapaaksi asiakkaiden autoille.

Äärimmäisen harvoin näillä ihmisillä kuitenkaan on minkäänlaista markkinoinnillista koulutusta. Sähkömiehen tai sisustussuunnittelijan papereista nyt puhumattakaan. Itse tehdyn pienen mainoskampanjan jälkeen ei osata tulkita miten mainostus on onnistunut. Mutta yrittäjä voi useimmiten kuitenkin olla hyvin tyytyväinen, kustannuksiltaanhan ratkaisu oli varsin edullinen.

Hyvin usein sama toimintamalli näkyy myös yrityksen IT-ratkaisuissa. Tarjouslehtisestä bongataan edullinen työasematarjous sekä lasertulostin puoleen hintaan. Ja näin saadaan uudet laitteet toimistolle varsin vaivattomasti. Uusien laitteiden ja ohjelmistojen asennus käy kätevästi, kuten kotonakin on totuttu tekemään: asenna, seuraava, seuraava, valmis. Entäpä mahdollisissa ongelmatilanteissa? Kun työntekijällä tulee virheilmoitus ruutuun, rientää toimitusjohtaja auttamaan. Hetken pohdinnan jälkeen ongelma saadaan, jos nyt ei ratkaistua, mutta ainakin väliaikaisesti kierrettyä.

Lähes kaikki yrityksen asiat, liittyivätpä ne mihin tahansa, saadaan useimmiten ratkaistua yrityksen omalla neuvokkuudella. Eikö kuulostakin melko hyvältä? Vai olisiko sittenkin hyvä hetkeksi pysähtyä miettimään?

En epäile, etteikö niin sanotusti omalla porukalla olisi mahdollista selvitä hyvinkin erityylisistä tilanteista ja ongelmista. Haluaisin kuitenkin herättää pientä keskustelua siitä, missä mittakaavassa tällainen toimintamalli on oikeasti kannattavaa ja missä vaiheessa ulkopuolisen asiantuntijan käyttö olisi parempi ratkaisu.

Nykyään tietotekniikka on välttämätön osa arkea lähes jokaisella toimialalla. Joillekin yrityksille tietotekniikka antaa uusia mahdollisuuksia tai helpottaa joidenkin työvaiheiden suorituksia. Toisilla toimialoilla puolestaan lähes koko yrityksen toiminta kulkee tietotekniikan varassa. Yritys voi olla täysin riippuvainen IT-laitteistojen toimivuudesta, vaikka yrityksen oma toimiala ei siihen periaatteessa liittyisi mitenkään.

Mitä enemmän yrityksen toiminta on riippuvainen tietotekniikasta, niin luonnollisesti sen tärkeämmäksi järjestelmän toiminta ja ylläpito muodostuu. Lähes kaikissa yrityksissä tietotekniset ratkaisut toimivat vähintäänkin tyydyttävällä tasolla. Nyt, kun laitteistot siis toimivat. Mutta miten yritys on varautunut mahdollisiin ongelmatilanteisiin?

Uskallan väittää, että huolestuttavan isossa osassa yrityksiä ei ole varauduttu ongelmiin käytännössä mitenkään. Kriittisimmiksi kohdiksi nostaisin tietoturvan sekä varmistukset. Usein saatetaan ajatella, että kun jokin viruksentorjuntaohjelma on asennettuna koneille, niin homma on kunnossa. Tai kun tärkeimmät tiedostot on kopioituna ulkoiselle muistitikulle, niin varmistukset ovat hyvin hoidettuna.

Kokonaisuuden hallinta on kuitenkin viruksentorjunnan ja muistitikun lisäksi äärettömän paljon muutakin. Jos yrityksen sisällä ei ole tietoteknistä osaamista, nousee mahdollisissa ongelmatilanteissa luotettava ja asiansa osaava yhteistyökumppani arvoon arvaamattomaan. Yksi ajatusmallihan on, että ei ennenkään ole mitään isompia ongelmia tullut ja toisaalta, jos jotain suurta sattuu, niin pyydetään siinä vaiheessa asiantuntija paikalle. Valitettava tosiasia kuitenkin on, että silloin ollaan jo auttamattomasti myöhässä.

Voisin itse kertoa lukuisia tarinoita tosielämän tilanteista, joissa yllättävä vika, inhimillinen virhe tai ulkopuolinen hyökkäys on keskeyttänyt isompienkin yritysten toimintoja pitkiksi ajoiksi. Menetetyt tiedot, aika ja raha ovat olleet todella suuria.

Hyvin monille yrityksille olen myös pyrkinyt tuomaan esiin tietotekniikkaan liittyviä riskejä. Osa heistä on ottanut kertomani seikat huomioon, ja tietotekniset ratkaisut on päivitetty hyvälle tasolle. Osa yrityksistä on tiedostanut asian mutta päättänyt vielä toistaiseksi jatkaa olemassa olevilla ratkaisuilla. Kolmas ryhmä puolestaan ei ole mieltänyt riskejä riittävän suuriksi, jotta olisivat lähteneet konkreettisiin toimenpiteisiin.

Tarkoitukseni ei ole suoranaisesti pelotella, mutta haluan nostaa ajatuksia pintaan. Miten sinun yritysessäsi on varauduttu? Jos huomenna yrityksesi palvelimen kiintolevy rikkoutuu ja kaikki koneen tiedot katoavat tai jos murtovaras saa matkaansa sinun henkilökohtaisen tietokoneesi, millaisin ajatuksin olet? Tottakai harmitus on suuri ja erinnäisiä kustannuksia tulee, se on selvä asia. Mutta jos kuitenkin voimme todeta, että kaikki tiedot ovat edelleen itselläsi nopeasti ja vaivattomasti saatavilla, murtovarkaalla ei ole pääsyä yrityksesi tietoihin ja tärkeät projektisi jatkuvat aikataulussaan, voimme olla hyvillä mielin.

Jos taas pienikään epäilys jää vaivaamaan, niin kannattaa miettiä, olisiko asialle hyvä tehdä jotain. Kysyminen ei maksa mitään ja usein myös hyvin kattavan IT-kartoituksenkin voi saada täysin veloituksetta. Aika on rahaa ja pitkä aika on paljon rahaa. Jos tietoteknisen ongelman seurauksena lyhytkin aika nostaa hikipisarat otsallesi, voidaan kysyä, olisiko hieman huolettomampi aika mieluisampaa. Niin lyhyessä, kuin pitkässäkin juoksussa.  Tai siis ajassa.

1.2.2011

Yritysten käyttämät pankkiyhteysohjelmat tietoturvauhka

Kategoria: Tietoturva — Timo Haapavuori @ 20.18

Julkisuudessa on keskusteltu varsin paljon lähinnä kuluttajien käytössä olevista verkkopankeista, ja niihin liittyvistä tietoturvaongelmista. Totta onkin, että näistä verkkopankeista on välillä löytynyt huolestuttavia piirteitä. Tosin varsin usein verkkopankkeihin liittyvät ongelmat ovat olleet enemmän käyttäjien ymmärtämättömyydestä johtuvia kuin verkkopankkien taustalla olevaan tekniikkaan liittyviä. Vaikka verkkopankkeja onkin arvosteltu varsin laajasti, ja väärinkäytöksiäkin on tapahtunut, niin tästä huolimatta verkkopankkien tietoturva on keskimääräisesti kohtuullisen hyvällä tasolla. Verkkopankeissa on vakiintunut jo niiden alkuajoilta lähtien käytäntö, jossa jokaisella käyttäjällä on vaihtuva avainlukulista. Vaihtuva avainlukulista tarkoittaa sitä, että jokaisella kerralla verkkopankkiin kirjautumisen yhteydessä käytetään eri tunnuslukua. Tämä puolestaan tarkoittaa sitä, että vaikka yksittäinen tunnusluku pääsisikin vääriin käsiin, niin pääsääntöisesti kyseinen avainluku on tässä vaiheessa jo käytetty, eikä avainluvusta ole enää hyötyä.

Yritysten käyttämiä pankkiyhteysohjelmia tarkasteltaessa huomataan hyvin nopeasti, että kehittyneimmätkin näistä ohjelmista, ovat tietoturvan näkökulmasta kivikaudella jos ohjelmia verrataan kuluttajien käyttämiin verkkopankkeihin. Työssäni olen ollut asentamassa ja konfiguroimassa varmasti lähes kaikkia yritysten käytössä Suomessa olevia pankkiyhteysohjelmia. Yhteinen piirre näille kaikille ohjelmille on ollut salasanat, joita ei tyypillisesti tarvitse vaihtaa koskaan ja joilla ei ole mitään minimivaatimuksia. Kun tähän yhdistää keskiverto käyttäjän joka asettaa omaksi salasanakseen oman kissansa nimen ja säilyttää salasanaansa varmuuden vuoksi keltaisella muistilapulla näppäimistön alla, niin jo pelkästään tämä tilanne kuulostaa kohtuulliselta tietoturvauhalta.

Pankkiyhteysohjelmien käyttämien salasanojen säilyttäminen ohjelman sisällä vaihtelee suuresti ja vahva salaus ei välttämättä ole itsestäänselvyys. Viimeaikoina ohjelmien jakaminen ASP- tai SAAS-tyyliin on yleistynyt merkittävästi. Tällöin varsin usein kyse on siitä, että samaa ohjelmaa käytetään useiden täysin toisistaan tietämättömien yritysten pankkiasioiden hoitoon. Tällöin olisi ensiarvoisen tärkeää varmistua siitä, että yritys A ei voi missään olosuhteissa nähdä yrityksen B tietoja. Markkinoilla on useiden eri valmistajien toteutuksia, ja ikäväkseni on todettava, että kaikissa tapauksissa tämä itsestään selvyydeltä vaikuttava seikka ei tarkemmin tarkasteltuna olekaan aina kovin selvää.

Yrityskulttuurit ovat myös usein varsin kypsymättömiä tietoturvaan ja sen merkitykseen. Aikaisemmin jo viittasin tilanteisiin, joissa muutenkin varsin yksinkertaista salasanaa säilytetään esimerkiksi näppäimistön alla. Kovin harvassa ovat ainakin pienemmissä yrityksissä ne, joissa käyttöoikeuksia on mitenkään rajattu. Esimerkiksi pienelläkin tilitoimistolla saattaa olla helposti useiden kymmenien yritysten pankkitilit käytettävissään. Eikä ole mitenkään poikkeuksellista, että kaikilla yrityksen työntekijöillä on näihin tileihin pääsy ja tilien käyttöön ei liity minkäänlaisia rajoituksia. Tilannetta hankaloittaa vielä entisestään tietotekniikkaan usein liittyvät ongelmat, joissa yritykset käyttävät IT-alan yrityksiä apunaan. Asentajalle, jota yrityksessä kukaan ei välttämättä ole koskaan nähnytkään, annetaan tyypillisesti ensimmäisenä pankkiyhteysohjelman pääkäyttäjän salasanat, jotta hän pääsee ongelman selvityksen kimppuun. Ja koska näitä salasanoja ei yleensä muuteta, niin tämä paperinkulmaan kirjoitettu tunnus saattaa hyvin kulkeutua asentajan taskussa yrityksestä ulos ja antaa asentajalle mahdollisuuden käyttää salasanaansa hyödyksi vielä vuosien kuluttua. Ja kuinka moni meistä pankkiyhteysohjelmien kanssa työskennelleistä on koskaan tullut asiaa edes ajatelleeksi.

Yritysten käyttämien pankkiyhteysohjelmien käyttöön, sekä taustalla olevaan tekniikkaan, liittyy tietoturvauhkia huomattavasti enemmän kuin kuluttajien käyttämiin verkkopankkeihin. Samaan aikaan yritysten kautta liikkuvat rahasummat ovat tyypillisesti huomattavasti suurempia kuin kuluttajien tileillään liikuttelemat summat. Olen keskustellut asiasta jo useiden vuosien ajan sekä pankkiyhteysohjelmia valmistavien ohjelmistotalojen, että pankkiyhteysohjelmia käyttävien yritysten kanssa. Tyypillistä näille keskusteluille on ollut ongelman vähättely tai kiistäminen. Mitään ongelmiahan ei ole tyypillisesti ole ollut ennenkään, joten eihän niitä odoteta tulevan jatkossakaan. Pelkään, että tähän epäkohtaan puututaan todenteolla vasta sitten, kun riittävän suuri vahinko on tapahtunut ja asia on saanut riittävästi julkisuutta. Jos näin joskus tapahtuisi, niin näen jo nyt sielujeni silmillä kuinka sekä yrityksessä olevat käyttäjät, että ohjelmistotalon edustajat kertovat, kuinka kaikki mahdolliset asiat tietoturvan eteen oli tehty ja tapahtunut tuli kaikille suurena yllätyksenä. Nyt kun suuremmilta ongelmilta on vielä toistaiseksi vältytty, niin nyt jos koskaan olisi aika paneutua tähän asiaan niin yrityksissä kuin ohjelmistotaloissakin, ja tehdä tarvittavat korjaukset. Jostain syystä olen kovin skeptinen tähän oma-aloitteiseen asioiden kuntoon laittamiseen, ja uskon tämänkin asian tulevan kuntoon vasta ensimmäisen suuren kriisin kautta.

Tulevissa kirjoituksissani tulen pitämään tietoturva-aspektin mukana. Pyrin nostamaan jatkossakin esille käytännön kokemuksiani niin hyvässä kuin pahassa. Tietoturva on nykyisin erottamaton osa lähes meidän kaikkien arkipäivää, ja sen vuoksi yritän tuoda tietoturvanäkökulmaa esille myös niissä asioissa, joihin sitä ei välttämättä perinteisesti ole osattu liittää.

21.1.2011

Tietoturvan kaksi suurinta uhkaa 2/2

Kategoria: Tietoturva — Timo Haapavuori @ 17.10

Tietoturvasta puhuttaessa heikoin lenkki on aina ollut, ja uskaltaisin väittää, että tulee myös aina olemaan, ihminen. Kuinka moni päivittää tietokoneensa tietoturvapäivitykset säännöllisesti tai edes silloin kun siitä muistutetaan jonkin isomman uhan kohdalla iltauutisissa? Kuinka moni edes tietää mitä nämä tietoturvapäivitykset tarkoittavat? Virustorjuntaohjelmistojen lisenssit on yleensä uusittava tietyin väliajoin. Mutta tuleeko nuo lisenssit aina uusittua? Nämä asiat nostetaan aika usein esille, kun keskustellaan käyttäjän vastuusta. Mutta ovatko nämä niitä oleellisia kysymyksiä?

Yrityksessä nämä ovat asioita jotka tyypillisesti on annettu, tai ainakin olisi pitänyt antaa, ammattilaisten tehtäväksi. Kotikoneella noihinkin asioihin on aiheellista kiinnittää kuitenkin huomiota. Ehkä kuitenkin paljon oleellisempaa on pysähtyä miettimään miten me tietoverkossa liikumme. Pyöräillessämmekin kypärä on tärkeä suoja kaatumista vastaan. Mutta on erittäin todennäköistä, että se ei pelasta meitä, jos ajamme pyörällä vaikkapa ison rekan alle. Sama juttu pätee siis myös tietoturvaan.

Kannattaako meidän avata tuntemattomalta henkilöltä tullut sähköpostin liitetiedosto, kun viestin otsikossa meidän kerrotaan voittaneen 10 miljoonaa arvonnassa toisella puolella maailmaa, jossa emme ole koskaan edes käyneet? Onko järkevää lähettää sähköpostissa verkkopankkimme tunnusluvut tuntemattomalle henkilölle, joka yrittää kovin hyvin perustella, kuinka hän niitä tarvitsee voidakseen auttaa meitä? Netissä surffatessamme, onko järkevää tutkia niitä kaikkein epämääräisimpiä nettisivuja sen vuoksi, että siellä luvataan olevan jotain niin hyvää, että se ei mitenkään voi olla totta? Riittääkö salasanaksemme pienillä kirjaimilla kirjoitettu koiran tai kisan nimi? Jos ajattelette että riittää, niin miettikääpä hetki kauanko noin neljä merkkiä pitkän salasanan murtaminen kestää ammattilaiselta? Voin vakuuttaa ettei kovinkaan kauaa. Onko näppäimistön alla oleva keltainen muistilappu paras tapa säilyttää omia salasanoja? Tätä voisi verrata siihen, että jätämmekö me yleensä kotoa lähtiessänne avaimen kotimme oveen tai kaupassa asioidessanne avaimen auton virtalukkoon.

Kaikesta teknisestä kehittymisestä huolimatta tietoturvassa on kyse mitä suurimmassa määrin maalaisjärjen käytöstä. Tietoturvaan liittyvät ongelmat liittyvät oman kokemukseni mukaan lähes poikkeuksetta käyttäjän ajattelemattomuuteen, laiskuuteen tai väliinpitämättömyyteen. Näitä käyttäjästä johtuvia tekijöitä voidaan yrittää lieventää tekniikan avulla ja tässä tekniikka onkin kehittynyt paljon, mutta taustalla oleva ongelma ei ole muuttunut miksikään.

Siinä missä tavallinen tietoverkossa liikkuva käyttäjä on yleensä itselleen suurin tietoturvariski, niin työskennellessäni nykyisin lähinnä yritysten tietojärjestelmien kanssa, olen havainnut, että kenties vielä loppukäyttäjää suurempi riski tietoturvalle on ”huono admin”. Se henkilö, jonka vastuulla yrityksen tietotekniikka on. Näihin ”huonoihin admineihin” törmää aivan liian usein ja vaikka joskus taustalla voi olla osaamiseen liittyviä haasteita, niin paljon suurempi ongelma näissä tilanteissa on yleensä kiire ja ajattelemattomuus, joskus myös välinpitämättömyys.

Nostin ”huonon adminin” loppukäyttäjää suuremmaksi tietoturvauhaksi ennen muuta sen vuoksi, että siinä missä yksittäinen käyttäjä yleensä asettaa itsensä alttiiksi vaaroille, niin tämä ”huono admin” asettaa organisaation kaikki käyttäjät altiiksi vaaroille ja samalla tuudittaa loppukäyttäjät siihen käsitykseen, että tietoturva olisi hoidettu parhaalla mahdollisella tavalla. Varsin usein tällä ”huonolla adminilla” ei ole yrityksessä esimiestä joka osaisi arvioida tämän henkilön tekojen oikeellisuutta ja varsin harvoilla tavallisilla tietokoneen käyttäjällä on edes lähtökohtaisesti halua tai uskallusta kyseenalaistaa tämän henkilön tekemisiä, sillä kyseessähän on ammattilainen.

Tietoturva on ollut jo pitkään suuri tietotekniseen kehitykseen liittyvä uhka. Näin tulee varmasti olemaan myös jatkossa. Hyväksymällä ajatuksen, että meidän jokaisen on tehtävä oma osuutemme tietoturvatalkoissa, olemme askeleen lähempänä tietoturvallisempaa tietoyhteiskuntaa. Kyse ei ole välttämättä uudesta ja vaikeasta tekniikasta tai muutoin monimutkaisesta varautumisesta. Terve maailaisjärki ja itsestäänselvyyksien kyseenalaistaminen ovat asioita, jotka auttavat meitä jokaista kohta parempaa tietoturvaa.

Myöhemmissä kirjoituksissani pyrin pitämään tietoturva-aspektin mukana ja nostamaan esille konkreettisia käytännön esimerkkejä tietoturvasta niin hyvien kuin huonojenkin esimerkkien avulla.

14.1.2011

Tietoturvan kaksi suurinta uhkaa 1/2

Kategoria: Tietoturva — Timo Haapavuori @ 17.09

Tietoturvasta tai paremminkin sen puutteesta puhutaan nykyään jatkuvasti. Ohjelmistoista löydetään jatkuvasti uusia haavoittuvaisuuksia. Uusia viruksia ja vakoiluohjelmia syntyy nykyään enemmän kuin koskaan. Tietoturvauhat ulottuvat jatkuvasti uusille aluille, riskit matkapuhelimien haavoittuvaisuuksista alkaa olla jo vanha juttu, suosittu yhteisöpalvelu Facebook on sekin osoittanut haavoittuvaisuutensa. Kaikkein eniten luottamusta herättävät tahot, kuten ydinlaitokset, ovat joutuneet erittäin vakavien hyökkäyksien kohteeksi. Ja varmasti meistä jokainen on kuullut verkkopankkeihin liittyvistä uhista.

Normaalia tietoyhteiskunnan kansalaista uhat ja vaarat usein pelottavat, mutta sitten kuitenkin aika usein tätä pelkoa suurempi voima on usko itseensä: ”eihän minulle mitään tapahdu”. Muistan jo vuosien takaa, kun vielä työskentelin aktiivisesti myymälöissämme, kuinka tavallista olikaan kohdata ”eihän minulle mitään tapahdu” –tyyppisiä asiakkaita. Yleensä nämä kohtaamiset vain sattuivat hetkessä, jossa ihminen oli juuri huomannut, että kylläpäs se sitten sattuikin omalle kohdalle. Varsin yleinen asiakas tuohon aikaan oli keski-ikäinen mies, joka oli erehtynyt surffaamaan tietokoneellaan aikuisviihdesivustoille. Tuolloin usein tärkein liikkeelle paneva voima oli saada tietokone korjattua, ennen kuin vaimo tai tyttöystävä huomaisi tapahtuneen. Joku mahdollisesti teistäkin tunnistaa tästä itsensä. Ja ei ole tainnut tilanne noiden vuosien jälkeen hirveän paljon muuttua.

Ehkä sitten kuitenkaan tämän tyypillinen asiakas silloin ennen ei ollut ymmärtänyt, mitä tietoturva oikeasti tarkoittaa, vaikka oli sitä juuri hetkeä aikaisemmin katsonut silmästä silmään. Onko tietoturvan pettäessä suurin riski, että kenties läheisin ihminen oppii tietämään kenties jotain mitä ei vielä aikaisemmin tiennyt? Tämänkö takia tietoturvaan tehdään jatkuvasti uusia investointeja, ettei aviomies tai poikaystävä joutuisi noloon tai kiusalliseen tilanteeseen? Ja tietolähteeni kertovat, ettei tilanne ole vuosien saatossa hirveästi tästä parantunut.

Viruksia ja muita tämänkaltaisia haitakkeita ei tehdä enää nykyään – eikä muuten ole tehty enää vuosiin – pilantekomielessä. Kaiken tämän taustalla on raaka bisnes. Viruksia tehtailevat hakkerit ovat kiinnostuneita sinun luottokortin numerostasi, verkkopankin tunnuksistasi, monet heistä haluavat valjastaa sinun tietokoneesi lähettämään roskapostia yhdessä muiden saastuneiden koneiden kanssa ympärimaailmaan jne. Toisaalta hakkereilla on myös poliittisia päämääriä, kuten esimerkiksi hiljattain tehty täsmävirus, jolla pyrittiin ja ilmeisesti kohtuullisesti myös onnistuttiin vahingoittamaan Iranin yhdinohjelmaa. Ainakin minusta tuntuu, että tietoturvan kanssa meidän tulisi olla huolestuneempia muista vaikutuksista kuin nolosta tilanteesta puolison kanssa. Tilanne voi näyttää seuraavana päivänä paljon nolommalta, kun parin tonnin luottokorttilasku jonkun toisen tekemistä ostoksista kolahtaa postiluukusta tai sähkölaskua maksaessa huomaat säästötilisi saldosta kadonneen juuri useampia nollia.

Tietoturvasta puhuttaessa erilaiset ohjelmat ja niiden merkitys on korostunut. Puhutaan virustorjunnoista ja palomuureista. Tavalliselle käyttäjälle syntyy helposti vaikutelma, että tietoturva on korjattavissa pienellä investoinnilla tarvittavaan tietoturvatuotteeseen. En tässä kirjoituksessa halua vähimmässäkään määrin väheksyä näiden tuotteiden tärkeyttä tieturvasta puhuttaessa, mutta välineurheilussakaan hyvät välineet eivät takaa hyvää urheilusuoritusta.

Seuraavassa kirjoituksessani, arviolta noin viikon kuluttua, jatkan tietoturvakysymysten pohtimista, nostan esille konkreettisia tietoturvauhkia ja pyrin näyttämään, miten jokainen meistä voi omilla toimillaan olla luomassa tietoturvallisempaa tietoyhteiskuntaa.